ftp怎么nat

① 用NAT如何把内网的ftp发布出去

网络环境说清楚啊，至少说可以拿什么做NAT啊

② 如何通过路由设置ftp

1、明确FTP服务内网访问地址端口，确保FTP服务服务正常，在内网可以正常访问连接。

③ 如何让外网访问内网ftp服务器

在原办公楼的路由器上要做端口映射，即把从外网来访问路由器IP的FTP服务，映射到内网的FTP服务器IP上去，相当于转发了。因为外网的人最多只能访问到路由器，不可能直接访问到内网的FTP，一转过去就可以了。
第二由于宽带的IP是不固定的，新办公楼访问宽带路由器用IP访问也不好记，麻烦。所以还得要DDNS（动态域名解析），这类服务有花生壳（免费）等，申请帐号后，会给你一个域名。
第三把申请到的动态域名在原宽带路由器里面绑定，现在一般的宽带路由器都内置DDNS功能，你只需启用该功能，并填入申请到的账号即可。如果你的宽带路由器不支持内置的DDNS功能，也没有关系，你去你申请域名的网站下载一个客户端。在原路由器下面的任意一台电脑（在不在FTP服务所在电脑也都无所谓），并运行客户端（当然也是要账号）。
此后，在新办公楼的同事就可以用你申请到的域名访问FTP服务器了，这边不用作任何设置的，所有的设置都是在原路由器那边
QQ41977254

④ ftp怎么用

FTP基础知识

FTP是File Transfer Protocol（文件传输协议）的缩写，用来在两台计算机之间互相传送文件。相比于HTTP，FTP协议要复杂得多。复杂的原因，是因为FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。

FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。
PORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。

当需要传送数据时，客户端在命令链路上用 PORT命令告诉服务器：“我打开了****端口，你过来连接我”。于是服务器从20端口向客户端的****端口发送连接请求，建立一条数据链路来传送数据。

PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。

当需要传送数据时，服务器在命令链路上用 PASV命令告诉客户端：“我打开了****端口，你过来连接我”。于是客户端向服务器的****端口发送连接请求，建立一条数据链路来传送数据。
从上面可以看出，两种方式的命令链路连接方法是一样的，而数据链路的建立方法就完全不同。而FTP的复杂性就在于此。

FTP服务器端的注意事项

一、FTP服务器是公网IP，用公网动态域名；或是内网IP，用内网专业版TrueHost

1、服务器如果安装了防火墙，请记住要在防火墙上打开FTP端口（默认是21）。

2、所有FTP服务器软件都支持PORT方式。至于PASV方式，大部分FTP服务器软件都支持。支持PASV方式的FTP服务器软件，也可以设置为只工作在PORT方式上。

3、为了PASV方式能正常工作，需要在FTP服务器软件上为PASV方式指定可用的端口范围（设置方法）。此外，还要在服务器的防火墙上打开这些端口。当客户端以PASV方式连接服务器的时候，服务器就会在这个端口范围里挑选一个端口出来，给客户端连接。

二、FTP服务器是内网IP，用内网动态域名标准版cm*natpro*y

这种情况下，FTP服务器不需要做特殊设置，只要支持PASV方式就可以了。大部分FTP服务器软件都支持PASV方式。

FTP客户端的注意事项

请注意：选择用PASV方式还是PORT方式登录FTP服务器，选择权在FTP客户端，而不是在FTP服务器。

一、客户端只有内网IP，没有公网IP

从上面的FTP基础知识可知，如果用PORT方式，因为客户端没有公网IP，FTP将无法连接客户端建立数据链路。因此，在这种情况下，客户端必须要用PASV方式，才能连接FTP服务器。大部分FTP站长发现自己的服务器有人能登录上，有人登录不上，典型的错误原因就是因为客户端没有公网IP，但用了IE作为FTP客户端来登录（IE默认使用PORT方式）。

作为FTP站长，有必要掌握FTP的基础知识，然后指导您的朋友如何正确登录您的FTP。

二、客户端有公网IP，但安装了防火墙

如果用PASV方式登录FTP服务器，因为建立数据链路的时候，是由客户端向服务器发送连接请求，没有问题。反过来，如果用PORT方式登录FTP服务器，因为建立数据链路的时候，是由服务器向客户端发送连接请求，此时连接请求会被防火墙拦截。如果要用PORT方式登录FTP服务器，请在防火墙上打开 1024以上的高端端口。

三、连接用内网标准版cm*natpro*y搭建的FTP服务，必须要用PASV方式。连接任何公网FTP服务器、或用内网专业版TrueHost搭建的FTP服务器，PORT方式和PASV方式都可以使用。

当然，使用PORT方式的时候，还要满足上面的两个条件。

四、常见的FTP客户端软件PORT方式与PASV方式的切换方法。

大部分FTP客户端默认使用PASV方式。IE默认使用PORT方式。

在大部分FTP客户端的设置里，常见到的字眼都是“PASV”或“被动模式”，极少见到“PORT”或“主动模式”等字眼。因为FTP的登录方式只有两种：PORT和PASV，取消PASV方式，就意味着使用PORT方式。

IE：

工具 -> Internet选项 -> 高级 -> “使用被动FTP”（需要IE6.0以上才支持）。

CuteFTP：

Edit -> Setting -> Connection -> Firewall -> “PASV Mode”
或
File -> Site Manager，在左边选中站点 -> Edit -> “Use PASV mode”
FlashGet：
工具 -> 选项 -> 代理服务器 -> 直接连接 -> 编辑 -> “PASV模式”

FlashFTP：

选项 -> 参数选择 -> 代理/防火墙/标识 -> “使用被动模式”
或
站点管理 -> 对应站点 -> 选项 -> “使用被动模式”
或
快速连接 -> 切换 -> “使用被动模式”

LeechFTP：

Option -> Firewall -> Do not Use

五、请尽量不要用IE作为FTP客户端

IE只是个很粗糙的FTP客户端工具。首先，IE6.0以下的版本不支持PASV方式；其次，IE在登录FTP的时候，看不到登录信息。在登录出错的时候，无法找到错误的原因。在测试自己的FTP网站的时候，强烈建议不要使用IE。

FTP建站的详细配置过程

请参考这个网页的说明来配置：

使用Serv-U建立FTP网站

高级话题

一、为什么没有公网IP，也能使用PORT方式登录FTP？

NAT 网关的工作方式是在TCP/IP数据包的包头里找局域网的源地址和源端口，替换成网关的地址和端口。对数据包里的内容，是不会改变的。而使用PORT方式登录FTP的时候，IP地址与端口信息是在数据包里面的，而不是在包头。因此，没有公网IP，使用PORT方式是无法从internet上的ftp服务器下载数据的。

但是，极少数的NAT网关也支持PORT方式。这些NAT网关连数据包里面的内容都扫描，扫描到 PORT指令后会替换PORT方式的IP和端口。在这种NAT网关下面，用PORT方式就没问题了。不过，这些网关也只扫描21端口的数据包，如果FTP 服务器不是用默认的21端口，也无法使用PORT方式。

二、内网可以用PORT访问其他FTP，为什么不能用PORT访问自己的TrueHost FTP？

下面要讨论的问题，只是为了说明一些原理，是不影响实际使用的。如果您没有兴趣深究这些原理，不必花时间看。

内网用户通过支持PORT方式的NAT网关，访问自己本机利用TrueHost建立的FTP服务器，FTP命令链路的建立过程如下：

FTP客户端

10.10.0.1
端口*** <==> ISP NAT网关
61.144.1.2
端口**** <==> TH服务器
*.*.*.*
端口21 <==> TH客户端 <==> 用户FTP服务器
10.10.0.1
端口21

FTP客户端通过ISP的NAT网关、科迈TrueHost服务器、TrueHost客户端，连接用户本机的FTP服务器的21端口。

当需要下载数据的时候，FTP客户端通过这条命令链路，向FTP服务器发送PORT命令。假设命令为：

PORT 10,10,0,1,30,4 （即IP=10.10.0.1 端口=30*256+4=7684）
当命令通过ISP的NAT网关的时候，NAT网关判断目的端口是21，并且是PORT命令，于是，修改命令里的IP和端口，替换为自己的IP和端口，比如：
PORT 61,144,1,2,50,6 （即IP=61.144.1.2 端口=50*256+6=12806）
用户的FTP服务器最终收到的是上面这个PORT命令。于是，FTP服务器向这个IP和端口发送连接请求，建立数据链路。

用户FTP服务器

10.10.0.1
端口20 <==> ISP NAT网关
61.144.1.2
端口12806 <==> FTP客户端
10.10.0.1
端口7684

但是，因为NAT网关的公网IP只能接收外来的连接请求。就是说，61.144.1.2:12806只能接收其他公网IP的连接请求，对于从NAT内部（10.10.0.1:20）发起的连接请求，是无法建立连接的。为什么？原因很简单，因为内网IP要访问外网，必须要通过NAT建立映射。于是FTP数据链路无法建立。于是，用户无法在自己的机器上通过21端口访问自己的TrueHost FTP。

我们再来看看，如果FTP端口不是21，比如是22，会发生什么情况呢？在FTP客户端发送PORT命令的时候，NAT网关检测到目标端口是22，因为支持PORT的 NAT网关只监视目的端口是21的数据包，发现目的端口是22的数据包，不做任何处理，完全放行。于是FTP服务器收到的PORT命令依然是PORT 10,10,0,1,30,4。于是FTP服务器向这个IP和端口发送连接请求。

用户FTP服务器

10.10.0.1
端口20 <==> FTP客户端
10.10.0.1
端口7684

这种情况下命令链路就可以建立起来了。而且是等于本机连接本机，速度飞快。
综上所述，内网用户无法用PORT方式通过21端口访问自己的TrueHost FTP服务器。如果FTP端口不是21，则可以访问，而且实际上是本机连接本机。

上面的文字，仅仅是为了说明一些原理，不影响实际使用。如果本机访问本机，还要通过FTP的话，就有画蛇添足之嫌了。

⑤ vsFTP和nat的问题

一：什么是DMZ DMZ(Demilitarized Zone)即俗称的非军事区，与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。 二：为什么需要DMZ 在实际的运用中，某些主机需要对外提供服务，为了更好地提供服务，同时又要有效地保护内部网络的安全，将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护，可以构建一个DMZ区域，DMZ可以为主机环境提供网络级的保护，能减少为不信任客户提供服务而引发的危险，是放置公共信息的最佳位置。在一个非DMZ系统中，内部网络和主机的安全通常并不如人们想象的那样坚固，提供给Internet的服务产生了许多漏洞，使其他主机极易受到攻击。但是，通过配置DMZ，我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。 三：DMZ网络访问控制策略 当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。 1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。 2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网 很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ不能访问内网 很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。 6.DMZ不能访问外网 此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。 四：DMZ服务配置 DMZ提供的服务是经过了地址转换（NAT）和受安全规则限制的，以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑，确定DMZ区应用服务器的IP和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信，DMZ区既可与外网区进行通信，也可以与内网区进行通信，受安全规则限制。 1 地址转换 DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的。网络地址转换用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet），以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。采用静态映射配置网络地址转换时，服务用IP和真实IP要一一映射，源地址转换和目的地址转换都必须要有。 2 DMZ安全规则制定 安全规则集是安全策略的技术实现，一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误，再好的防火墙也只是摆设。在建立规则集时必须注意规则次序，因为防火墙大多以顺序方式检查信息包，同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配，这个信息包便会被拒绝。一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，避免防火墙被配置错误。 DMZ安全规则指定了非军事区内的某一主机（IP地址）对应的安全策略。由于DMZ区内放置的服务器主机将提供公共服务，其地址是公开的，可以被外部网的用户访问，所以正确设置DMZ区安全规则对保证网络安全是十分重要的。 FireGate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流，通过规则表与连接表共同配合，对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有：源IP地址、目的IP地址、协议类型（IP、ICMP、TCP、UDP）、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类型域和代码域、碎片包和其他标志位（如SYN、ACK位）等。 为了让DMZ区的应用服务器能与内网中DB服务器（服务端口4004、使用TCP协议）通信，需增加DMZ区安全规则， 这样一个基于DMZ的安全应用服务便配置好了。其他的应用服务可根据安全策略逐个配置。 DMZ无疑是网络安全防御体系中重要组成部分，再加上入侵检测和基于主机的其他安全措施，将极大地提高公共服务及整个系统的安全性。

⑥ 笔记本电脑无线连接,如何访问内网ftp

1、FTP在局域网内的正常连接使用。这一步是前提基础，确保FTP应用本身运行的正常使用。FTP应用在浏览器或本地文件夹或FTP客户端打开访问时注意使用的是FTP://开头地址。
2、在FTP服务器上本地或所在内网安装使用nat123客户端。注意只在一台机上登录使用即可，如同一个号多处登录使用可能会出现映射混乱。一般情况下在FTP服务器上安装使用即可，如有权限操作。
3、登录客户端并添加全端口映射。将FTP服务器地址映射到外网域名地址。这一步只是映射服务器IP地址，无需端口操作。映射保存会可以将鼠标停留映射图标进一步查看当前状态提示。
4、在所有访问端安装使用访问者并添加FTP访问端口(默认是21)，也可以默认的添加选择对应的。
5、在使用访问者本地或所在内网，使用映射后的域名地址和添加访问的FTP端口进行访问连接。FTP访问建议使用FTP客户端比较方便操作。

⑦ ftp服务器如何才能外网访问

不知道楼主是否使用路由器连网,如果是,下面提供了详细的设置方法,如果是直接拨号上网,则更简单。
一、使用路由器,需要设置路由器的端口映射,就可以实现楼主的要求,具体需要映射的端口是21,21是FTP端口。这里给楼主详细说下:

1、申请花生壳免费域名。因为ADSL每次拨号后,获得的IP都是不同的,所以需要动态绑定到域名上,方便其他人记忆和访问。
2、设置本机固定局域网IP,例如设置为192.168.1.100
3、登陆路由器,找到“虚拟服务器”选项,这里需要说明一下,不同的路由器型号的配置方法也不完全相同,但一般都会有“虚拟服务器”这项功能,如果找不到这一项,可以找到“DMZ主机”,DMZ主机可以将内网的某个IP地址的所有端口均对外网开放,不过这样设置会有安全隐患,建议设置虚拟服务器
4、在“虚拟服务器”表格中填入要映射的内网IP,按上面的就是192.168.1.100,在内网端口和外网端口处填21,然后保存重起路由器
5、启动花生壳并激活域名服务
6、在计算机中安装SERVER-U软件,它是一款非常好用的FTP服务器软件(我自己用了很多年),有中文版,设置起来非常简单,如果不会我帮你远程,设置好后就可以正常访问了。
需要注意,通过路由器配置的服务器,在内网电脑一般是不能通过域名访问的,假设在你自己的电脑上访问你申请的域名,就会出现让你输入用户名和密码的提示,你怎么输入都是不对的。
要外网的电脑才可以正确访问,这点希望楼主明白。
二、直接ADSL拨号上网的配置方法:
1、申请花生壳免费域名 2、在计算机上启动花生壳并激活域名服务 3、安装SERVER-U软件,设置好后即可成功访问
差不多就这样了,有什么不懂再问我吧