如何在防火牆開放ftp埠
⑴ 如何打開ftp埠
進入「控制面板」->「程序」->"打開或關閉Windows功能",找到「Internet信息服務」選項。
將「Internet信息服務」選項勾選,確定,計算機開始開啟服務,需要等待一段時間。這時打開了「FTP伺服器」,「Web管理工具」中的「IIS管理控制台」和「萬維網服務」下的全部服務(該服務可能需要重啟計算機才能生效)。
右擊「計算機」,點擊「管理」。
點擊「服務和應用程序」->「Internet信息服務(IIS)管理器」,右擊「網站」,點擊「添加FTP站點」。
添加站點名稱和選擇Ftp站點根目錄物理路徑。
IP地址選擇本機IP,埠可以自行設定(為了安全最好不要使用默認埠21);SSL選擇「允許」,然後下一步。
身份驗證選擇「基本」,授權選擇「所有用戶」(即這台計算機現存的所有有效賬戶都可登錄),許可權設置「讀取」(即只可以從ftp下載文件,不可以上傳文件,想要設置上傳許可權需要選擇「寫入」),點擊「完成」。
在管理控制台在網站下可以看到新產生的Ftp站點,點擊網站可以看到站點相關信息,想要登錄ftp可能需要重啟計算機。
打開Windows資源管理器或者瀏覽器輸入「ftp://IP:Port」,彈出登錄對話框。
輸入有效地用戶賬號和密碼,進行登錄,在Ftp根目錄:E:FtpDownload 下有一個 測試.txt 文本文件,可以看到成功登錄Ftp之後顯示該文件。可以通過復制然後將文件粘貼到本地計算機進行文件下載。
添加專門進行FTP操作的用戶組和用戶。
在管理控制台,點擊「用戶」,右擊空白區域點擊「新用戶」,創建新用戶。
輸入用戶名和密碼,取消「用戶下次登錄時須更改密碼」,選擇「用戶不能更改密碼」和「密碼永不過期」,點擊創建,新建用戶名為Download的用戶。
新建的用戶都默認屬於 Users 組,可以通過該用戶和密碼登錄計算機,因此為不使該用戶具有登錄計算機等普通用戶的許可權,從 Users組中刪除 Download成員。
然後右擊右側空白區域,點擊「新建組」,輸入組名稱和描述信息,然後點擊「添加」,添加成員。
進入選擇用戶對話框,點擊「高級」,在新彈出對話框中選擇「立即查找」,從搜索結果中找到Download,點擊確定,再確定。
然後在成員欄中出現Download,點擊「創建」,成功創建用戶組並將Download用戶添加至用戶組 「Ftp Users」。
只允許特定用戶訪問FTP。
點擊網站下Ftp站點,雙擊「授權規則」此時FTP允許所有用戶登錄。
雙擊「所有用戶」,選擇「指定的角色或用戶組」,輸入成員Download,確定,則目前只有Download可以登錄FTP。
重啟FTP,可能還需要重啟計算機使得配置生效,現在只有用戶名Download可以登錄FTP,並且該用戶名無法登錄計算機或進行其他操作。可以通過測試設置查看連接測試結果。
⑵ 如何在ADSL路由器/防火牆後設置FTP伺服器埠映射
如果伺服器IP地址是在范圍192.168.*.* 或 10.*.*.* ,或 172.13.* .*- 172.32.*.* 內的私有IP地址,說明伺服器在NAT設備後面(ADSL路由器通常是NAT設備),用戶從公網是不能直接命令訪問這個FTP伺服器。如果希望伺服器被公網訪問,就需要設置Xlight廣域網介面IP地址(或域名)。如果你的伺服器IP地址不在上面范圍內,你的伺服器是使用公共IP,可能伺服器只是在防火牆後,你只需要打開為PASV命令使用的埠范圍。 2. 確認是否需要為ADSL路由器/防火牆配置埠映射,如果伺服器在ADSL路由器後,伺服器IP地址是上面提到的私有IP地址,通常需要在ADSL路由器內配置埠映射。你需要參考ADSL路由器的手冊如何設置埠映射(埠影射,在路由器手冊里通常叫"虛擬伺服器",也有叫"轉發規則→虛擬伺服器",或其他名稱的)。路由器映射的埠范圍包括FTP標准埠21,和PASV命令使用的埠范圍。路由器內映射的埠范圍必須和你在Xlight的全局選項→通用→防火牆→PASV埠范圍內設置的范圍一致,只有FTP標准埠21不需要設置在Xlight全局選項的埠范圍內。如果你在防火牆後,而且使用公共IP,你通常只要在防火牆上打開一段埠范圍。 3. 在Xlight的全局選項→通用→防火牆→啟用被動模式(PASV)埠范圍,填入上面所設置的埠范圍。如果伺服器使用私有IP,你還需要在這里填入廣域網IP地址,或域名。 4. 如果用戶從公網還是不能工作,到主窗口的日誌內,檢查伺服器的會話日誌。如果不能看到客戶公網連接的任何日誌, 說明ADSL路由器/防火牆設置不對,沒有打開FTP標准埠21。如果你能看到客戶公網連接的日誌,但客戶不能獲得目錄列表,說明PASV命令使用的埠范圍映射不對,找到在客戶發出PASV命令後,Xlight 伺服器象下面的響應: 227 Entering Passive Mode (192,168,0,100,m,n) 其中m,n是定義了PASV埠的值,計算方式是m*256+n。例如m=10而 n=20,那麼PASV埠就是10*256+20=2580。 檢查這個范圍是否在你設置的PASV范圍內,如果不在,更改Xlight的全局選項→通用→防火牆→PASV埠范圍到你希望的埠范圍。 5. 確認你的廣域網介面IP是公共IP地址。確認227 Entering Passive Mode (x,x,x,x,m,n) m,n 內的IP地址是公共IP地址 = 你配置的廣域網介面IP,如果不是,可能Xlight的全局選項→通用→防火牆→廣域網IP使用固定IP,這一項沒有被填寫,或廣域網IP使用域名,這一項沒有填寫。
⑶ 如何通過防火牆訪問內網的FTP
方法1:域名重定向。
不知道你的設備支持不
。
讓你內網的電腦訪問那個域名
通過出口設備
做dns重定向
指向內網這個電腦
。
方法二:換設置,你的那個華為不支持地址回訪,意思就是內網電腦訪問這個內網的公網可以返回。
這樣是特別的設備支持的
。
巡路安全網關支持。
這個是欣向免疫牆的高端設備
帶硬防的。
同時這個網關也支持
dns重定向,
看你喜好用什麼方法了。
最好的就是這個了。
⑷ ftp埠防火牆怎麼樣設置
ftp埠防火牆設置方法一:
1.可以用SERV-U架設,只設置一個對外帳號,使用許可權只有下載權,沒有上傳,更改,刪除權
2.電腦裝殺毒軟體和防火牆
3.還有一個最基本的,在重視軟體的同時,別忘了Windows的安全,也要設置相應的密碼,關閉GUEST帳號
ftp埠防火牆設置方法二:
FTP埠常規的是21號埠。因為常規上網時不需要使用到這個埠,有可能你的防火牆將你的21號埠屏蔽了。
1、注意伺服器上你安裝的防火牆
2、注意伺服器自帶防火牆。
你需要把這兩個防火牆都打開才可以
ftp埠防火牆設置方法三:
必須開啟20和21
在被動模式下,FTP會打開一個高於1024的隨機埠與客戶端傳輸數據
這個埠的下限和上限可以在FTP服務端軟體中設置的
補充:
就是說,除了20和21以外,還必須開放一些高於1024的埠
你可以在FTP服務端軟體中設置這個范圍,並且在防火牆裡面把這些埠給開放了
當然,你也可以只設置一個這樣的埠
⑸ 如何使FTP伺服器安全
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而不要採用。Windows NT就像雞肋,不用也罷。採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」卜橋廳按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火牆
對於Windows XP系統,自型隱帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,我它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-U等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和FXP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-U伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,
容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
⑹ 如何設置windows自帶的防火牆允許網站訪問的80埠和ftp的21埠
進入 Windows 防火牆 -> 高級設置 -> 入站規則,然後在中間的列表中按本地埠排序,找到 21 和 80 埠所在的行,將這條規則啟用(右擊可以啟用),如果找不到 21 或者 80 ,在右邊新建一條規則,選擇 埠 -> 下一步 -> 指定本地商品,填入 80 ,下一步……,填入名稱,就可以了,21 埠照做就可以了。
⑺ 怎樣才能穿過防火牆使用FTP
一般來說,可以通過使用像防火牆工具包中的ftp-gw這類代理伺服器,或在有限的埠范圍允許接入連接到網路上(利用如「建立的」屏蔽規則這樣的規則來限制除上述埠外的接入),使FTP可以穿過防火牆工作。然後,修改FTP客戶機,使其將數據埠連接在允許埠范圍內的一個埠上。這樣做需要能夠修改在內部主機上的FTP客戶機應用。
另一個不同的辦法是使用FTP "PASV"選項來指示遠程FTP伺服器允許客戶機開始連接。PASV方式假設遠程系統上的FTP伺服器支持這種操作。(詳細說明請參看RFC1579)
另一些站點偏愛建立根據SOCKS庫鏈接的FTP程序的客戶機版本。
⑻ ftp怎樣使用
分類: 電腦/網路 >> 互聯網
解析:
FTP基礎知識
您是否正准備搭建自己的FTP網站?您知道FTP協議的工作機制嗎?您知道什麼是PORT方式?什麼是PASV方式嗎?如果您不知道,或沒有完全掌握,請您坐下來,花一點點時間,細心讀完這篇文章。所謂磨刀不誤砍柴功,掌握這些基礎知識,會令您事半功倍。否則,很可能折騰幾天,最後一事無成。
FTP基礎知識
FTP是File Transfer Protocol(文件傳輸協議)的縮寫,用來在兩台計算機之間互相傳送文件。相比於HTTP,FTP協議要復雜得多。復雜的原因,是因為FTP協議要用到兩個TCP連接,一個是命令鏈路,用來在FTP客戶端與伺服器之間傳遞命令;另一個是數據鏈路,用來上傳或下載數據。
FTP協議有兩種工作方式:PORT方式和PASV方式,中文意思為主動式和被動式。
PORT(主動)方式的連接過程是:客戶端向伺服器的FTP埠(默認是21)發送連接請求,伺服器接受連接,建立一條命令鏈路。
當需要傳送數據時,客戶端在命令鏈路上用 PORT命令告訴伺服器:「我打開了****埠,你過來連接我」。於是伺服器從20埠向客戶端的****埠發送連接請求,建立一條數據鏈路來傳送數據。
PASV(被動)方式的連接過程是:客戶端向伺服器的FTP埠(默認是21)發送連接請求,伺服器接受連接,建立一條命令鏈路。
當需要傳送數據時,伺服器在命令鏈路上用 PASV命令告訴客戶端:「我打開了****埠,你過來連接我」。於是客戶端向伺服器的****埠發送連接請求,建立一條數據鏈路來傳送數據。
從上面可以看出,兩種方式的命令鏈路連接方法是一樣的,而數據鏈路的建立方法就完全不同。而FTP的復雜性就在於此。
FTP伺服器端的注意事項
一、FTP伺服器是公網IP,用公網動態域名;或是內網IP,用內網專業版TrueHost
1、伺服器如果安裝了防火牆,請記住要在防火牆上打開FTP埠(默認是21)。
2、所有FTP伺服器軟體都支持PORT方式。至於PASV方式,大部分FTP伺服器軟體都支持。支持PASV方式的FTP伺服器軟體,也可以設置為只工作在PORT方式上。
3、為了PASV方式能正常工作,需要在FTP伺服器軟體上為PASV方式指定可用的埠范圍(設置方法)。此外,還要在伺服器的防火牆上打開這些埠。當客戶端以PASV方式連接伺服器的時候,伺服器就會在這個埠范圍里挑選一個埠出來,給客戶端連接。
二、FTP伺服器是內網IP,用內網動態域名標准版cm*natpro*y
這種情況下,FTP伺服器不需要做特殊設置,只要支持PASV方式就可以了。大部分FTP伺服器軟體都支持PASV方式。
FTP客戶端的注意事項
請注意:選擇用PASV方式還是PORT方式登錄FTP伺服器,選擇權在FTP客戶端,而不是在FTP伺服器。
一、客戶端只有內網IP,沒有公網IP
從上面的FTP基礎知識可知,如果用PORT方式,因為客戶端沒有公網IP,FTP將無法連接客戶端建立數據鏈路。因此,在這種情況下,客戶端必須要用PASV方式,才能連接FTP伺服器。大部分FTP站長發現自己的伺服器有人能登錄上,有人登錄不上,典型的錯誤原因就是因為客戶端沒有公網IP,但用了IE作為FTP客戶端來登錄(IE默認使用PORT方式)。
作為FTP站長,有必要掌握FTP的基礎知識,然後指導您的朋友如何正確登錄您的FTP。
二、客戶端有公網IP,但安裝了防火牆
如果用PASV方式登錄FTP伺服器,因為建立數據鏈路的時候,是由客戶端向伺服器發送連接請求,沒有問題。反過來,如果用PORT方式登錄FTP伺服器,因為建立數據鏈路的時候,是由伺服器向客戶端發送連接請求,此時連接請求會被防火牆攔截。如果要用PORT方式登錄FTP伺服器,請在防火牆上打開 1024以上的高端埠。
三、連接用內網標准版cm*natpro*y搭建的FTP服務,必須要用PASV方式。連接任何公網FTP伺服器、或用內網專業版TrueHost搭建的FTP伺服器,PORT方式和PASV方式都可以使用。
當然,使用PORT方式的時候,還要滿足上面的兩個條件。
四、常見的FTP客戶端軟體PORT方式與PASV方式的切換方法。
大部分FTP客戶端默認使用PASV方式。IE默認使用PORT方式。
在大部分FTP客戶端的設置里,常見到的字眼都是「PASV」或「被動模式」,極少見到「PORT」或「主動模式」等字眼。因為FTP的登錄方式只有兩種:PORT和PASV,取消PASV方式,就意味著使用PORT方式。
IE:
工具 -> Inter選項 -> 高級 -> 「使用被動FTP」(需要IE6.0以上才支持)。
CuteFTP:
Edit -> Setting -> Connection -> Firewall -> 「PASV Mode」
或
File -> Site Manager,在左邊選中站點 -> Edit -> 「Use PASV mode」
FlashGet:
工具 -> 選項 -> 代理伺服器 -> 直接連接 -> 編輯 -> 「PASV模式」
FlashFTP:
選項 -> 參數選擇 -> 代理/防火牆/標識 -> 「使用被動模式」
或
站點管理 -> 對應站點 -> 選項 -> 「使用被動模式」
或
快速連接 -> 切換 -> 「使用被動模式」
LeechFTP:
Option -> Firewall -> Do not Use
五、請盡量不要用IE作為FTP客戶端
IE只是個很粗糙的FTP客戶端工具。首先,IE6.0以下的版本不支持PASV方式;其次,IE在登錄FTP的時候,看不到登錄信息。在登錄出錯的時候,無法找到錯誤的原因。在測試自己的FTP網站的時候,強烈建議不要使用IE。
FTP建站的詳細配置過程
請參考這個網頁的說明來配置:
使用Serv-U建立FTP網站
高級話題
一、為什麼沒有公網IP,也能使用PORT方式登錄FTP?
NAT 網關的工作方式是在TCP/IP數據包的包頭里找區域網的源地址和源埠,替換成網關的地址和埠。對數據包里的內容,是不會改變的。而使用PORT方式登錄FTP的時候,IP地址與埠信息是在數據包裡面的,而不是在包頭。因此,沒有公網IP,使用PORT方式是無法從inter上的ftp伺服器下載數據的。
但是,極少數的NAT網關也支持PORT方式。這些NAT網關連數據包裡面的內容都掃描,掃描到 PORT指令後會替換PORT方式的IP和埠。在這種NAT網關下面,用PORT方式就沒問題了。不過,這些網關也只掃描21埠的數據包,如果FTP 伺服器不是用默認的21埠,也無法使用PORT方式。
二、內網可以用PORT訪問其他FTP,為什麼不能用PORT訪問自己的TrueHost FTP?
下面要討論的問題,只是為了說明一些原理,是不影響實際使用的。如果您沒有興趣深究這些原理,不必花時間看。
內網用戶通過支持PORT方式的NAT網關,訪問自己本機利用TrueHost建立的FTP伺服器,FTP命令鏈路的建立過程如下:
FTP客戶端
10.10.0.1
埠*** <==> ISP NAT網關
61.144.1.2
埠**** <==> TH伺服器
*.*.*.*
埠21 <==> TH客戶端 <==> 用戶FTP伺服器
10.10.0.1
埠21
FTP客戶端通過ISP的NAT網關、科邁TrueHost伺服器、TrueHost客戶端,連接用戶本機的FTP伺服器的21埠。
當需要下載數據的時候,FTP客戶端通過這條命令鏈路,向FTP伺服器發送PORT命令。假設命令為:
PORT 10,10,0,1,30,4 (即IP=10.10.0.1 埠=30*256+4=7684)
當命令通過ISP的NAT網關的時候,NAT網關判斷目的埠是21,並且是PORT命令,於是,修改命令里的IP和埠,替換為自己的IP和埠,比如:
PORT 61,144,1,2,50,6 (即IP=61.144.1.2 埠=50*256+6=12806)
用戶的FTP伺服器最終收到的是上面這個PORT命令。於是,FTP伺服器向這個IP和埠發送連接請求,建立數據鏈路。
用戶FTP伺服器
10.10.0.1
埠20 <==> ISP NAT網關
61.144.1.2
埠12806 <==> FTP客戶端
10.10.0.1
埠7684
但是,因為NAT網關的公網IP只能接收外來的連接請求。就是說,61.144.1.2:12806隻能接收其他公網IP的連接請求,對於從NAT內部(10.10.0.1:20)發起的連接請求,是無法建立連接的。為什麼?原因很簡單,因為內網IP要訪問外網,必須要通過NAT建立映射。於是FTP數據鏈路無法建立。於是,用戶無法在自己的機器上通過21埠訪問自己的TrueHost FTP。
我們再來看看,如果FTP埠不是21,比如是22,會發生什麼情況呢?在FTP客戶端發送PORT命令的時候,NAT網關檢測到目標埠是22,因為支持PORT的 NAT網關只監視目的埠是21的數據包,發現目的埠是22的數據包,不做任何處理,完全放行。於是FTP伺服器收到的PORT命令依然是PORT 10,10,0,1,30,4。於是FTP伺服器向這個IP和埠發送連接請求。
用戶FTP伺服器
10.10.0.1
埠20 <==> FTP客戶端
10.10.0.1
埠7684
這種情況下命令鏈路就可以建立起來了。而且是等於本機連接本機,速度飛快。
綜上所述,內網用戶無法用PORT方式通過21埠訪問自己的TrueHost FTP伺服器。如果FTP埠不是21,則可以訪問,而且實際上是本機連接本機。
上面的文字,僅僅是為了說明一些原理,不影響實際使用。如果本機訪問本機,還要通過FTP的話,就有畫蛇添足之嫌了。