浅谈防火墙对FTP的影响及故障排除剖析
FTP是常见的基于TCP的网络服务,它运用了两个TCP连贯来创立逻辑通讯信道,即控制连贯和数据连贯。当客户端与服务器创立一个FTP会话时,运用TCP创建一个耐久的控制连贯以通报下令和应对。当发送文件和其它数据传输时,它们在独立的TCP数据连贯上进行通报,这个连贯依据需要创建和拆除。
更为复杂的是,FTP规范指定了创建数据连贯的两种不一样要领,即正常(自动)数据连贯和被动数据连贯。FTP的控制连贯总是由客户端首先发起的,自动数据连贯是由服务器端发起的,被动数据连贯是由客户端发起的。
成功创立控制连贯后,在进行自动连贯时,客户端发送PORT下令,其中内嵌了地址和端口信息,以奉告服务器进行连贯,然后服务器打开默许端口20创立到客户端已奉告地址和端口的数据连贯。在进行被动连贯时,客户机运用PASV下令告诉服务器期待客户机创立数据连贯,服务器相应,告诉客户机为了数据传输它应当运用服务器上的什么端口(随机打开)。这种工作机制带来了一个重大的题目:在FTP的下令(PORT或PASV)或对它们的答复中通报IP地址及端口号与网络分层机制重大冲突,在FTP客户端与服务器的通讯信道之间的网关设施(防火墙或路由器)上启用了NAT功能的状况下将涌现连贯性题目。
防火墙关于像FTP这样的多端口连贯的TCP利用,其影响是深远的,在复杂的网络环境中,更是因为设施、软件的多样性可能导致不可预知的题目。作为一位网络治理员,深入理解防火墙和FTP的工作道理及其在NAT环境下防火墙对FTP的影响,关于选中FTP服务软件及安装、部署、治理及保护FTP服务和现实工作中排除FTP利用故障是大有裨益的。本文就以一个在现实环境中比较常见的FTP部署和利用拓扑为例,来细致解读防火墙(启用了NAT功能)对FTP的影响。若有不当之处,敬请指正。
一、网络拓扑图
二、自动模式的连贯剖析
如本例中网络拓扑所示,IP为192.168.1.1客户端盘算机打开一个可用的TCP端口1025,经过其前端的防火墙进行NAT转换成地址1.1.1.1和端口1025后创立到指标地址为2.2.2.2的21端口的连贯,然后服务器前端的防火墙将此连贯信息通报到服务器172.16.6.1的21端口,成功创立FTP控制连贯。
服务器则经由这个已经创立的逻辑连贯通道返回数据包,与客户端进行交互。接着,客户端发出PORT指令,在指令中嵌入了地址信息(IP:192.168.1.1,Port:1026),奉告服务器用于数据连贯,并打开始口1026,期待服务器连贯。当承载PORT指令的数据包抵达客户机前端的防火墙时,因为NAT的缘故,在成功创建NAT表项,改写数据包的IP和TCP端口信息后:
要是此时防火墙不能辨认并检查此连贯是FTP利用,便不能对PORT指令中嵌入的地址和端口信息进行改写,则将此数据包通过先前已创立的控制连贯通道通报到服务器后,服务器则打开20端口,将创立到192.168.1.1的1026端口的数据连贯。
显然,此连贯数据包要末被其前端的防火墙丢弃,要末在流入因特网后立即被丢弃,永远没法抵达客户端。在这种状况下,客户端不断处在控制连贯阶段发送含有PORT指令的数据包,以便创立数据连贯;而服务器则在打开了20端口后,不断尝试创立到客户端的数据连贯,但始终收不到应对。
直接的效果就是:客户端成功连贯了FTP服务器,却没法进行数据传输。这里可能还包含一个隐蔽的平安要挟:要是凑巧192.168.1.1关于服务器主机来说是直接可达的,则此时服务器便将数据包发送到这台盘算机,在这两台主机之间发生莫名的数据流。其他可能更隐藏、更不好的状况,笔者不再做假如叙述了。
要是此时防火墙能支撑对FTP利用进行审查和跟踪,即能辨认PORT指令中的内容,就将其中嵌入的地址信息改写成(IP:1.1.1.1,PORT:1026)并动态打开1026端口,并创立新的NAT转换表项,期待连贯,则当服务器收到PORT指令后,打开20端口,创立到1.1.1.1上1026端口的连贯,成功交互后,便能进行数据传输了。
三、被动模式的连贯剖析
控制连贯创立后,客户端发出的PASV指令抵达服务器,服务器则随机打开一个可用的TCP端口,并将地址和端口信息(IP:172.16.6.1,Port:50000)返回给客户端,奉告客户端应用这些信息进行数据连贯。当包含服务器地址信息的这个数据包抵达其前端的防火墙时:
要是防火墙不能辨认并检查此数据包的利用层数据,没法断定它是FTP的PASV指令的返回包,并对其中嵌入的地址信息进行重写,则当此数据包返回到客户端时,客户端将随机打开始口3000,以目的地址172.16.6.1、端口50000来进行数据连贯,同理,此连贯数据包永远不能抵达服务器端。
这种状况下,客户端将不断尝试创立数据连贯,却总是不能收到应对。这里可能包含的隐蔽平安要挟,如前所述。
要是防火墙能对FTP利用进行审查和跟踪,并将返回包中嵌入的服务器地址信息进行重写,即转换成(IP:2.2.2.2,Port:50000),然后创立新的NAT表项,动态打开50000端口,期待连贯。则此返回包抵达客户端时,客户端将随机打开始口3000,以目的地址2.2.2.2、端口50000来新建连贯,便能成功创立数据连贯。
依据以上剖析,为成功进行FTP数据传输,自动模式下要求客户机前端的防火墙在启用NAT后能对FTP利用进行审查和跟踪,辨认并改写PORT指令中的客户端地址信息;被动模式下则要求服务器前端的防火墙能改写服务器相应PASV指令后返回数据包中的服务器地址信息。
当然,为保险起见,为保证FTP利用的正常运用,倡议两端的防火墙都需要支撑对FTP进行辨认和内容审查。
四、网络防火墙与FTP
大多数网管设置防火墙的默许访问控制战略是:允许从内部到外部的一切流量,制止从外部到内部的一切流量。
就FTP利用来说,为了简化防火墙战略的配置又兼顾平安战略要求,客户机选中被动模式进行数据连贯较好,不需要对其前端的防火墙设置特殊的访问控制战略,但要求服务器前端的防火墙能动态打开数据连贯所需的随机端口;服务器端则选中自动连贯较好,为允许客户端的访问,其前端防火墙的访问控制战略仅需要显式对外开放21端口即可,但需要客户机前端的防火墙能动态打开数据连贯所需的端口。
从利便运用的角度考虑,既然供给FTP服务,就要配置好服务器前端的防火墙,使其访问控制战略能支撑两种模式下的FTP服务正常工作。
要是客户机前端的NAT设施为路由器,不是防火墙,并不能审查和跟踪FTP利用,从前面的剖析可以推断出,自动模式下确定存在连贯性题目,需要以被动方式创立数据连贯才能成功运用FTP服务。
要是FTP控制端口非默许,而是定制的TCP端口(比方2121),在这种状况下,服务器前端的防火墙通过配置下令显式指挥FTP的控制端口,便能进行审查和跟踪。但客户机前端的防火墙即便其能辨认默许端口下的FTP利用,此时也会把控制端口非21的FTP服务当作个别的TCP利用看待,这种情景下,便不能改写自动模式下的客户端地址端口信息,导致服务器在创立数据连贯时失败,但客户端运用被动连贯模式能正常工作。
综上所述,客户端运用被动方式连贯FTP服务器是最适当的,能最大限度地降低连贯性题目。同时降低了对客户机前端防火墙备的要求,不需要像自动方式那样动态开放允许输入的随机端口,把可能的平安要挟推给了服务器端。这也许是微软的IE阅读器(资源治理器)默许设置运用被动方式的缘由。如图表2所示。另外需要注意的,在Windows下令行下,FTP默许是运用自动方式进行数据连贯的。
五、主机防火墙与FTP
要是将FTP服务器架设在Windows Server 2008上,因为它内置Windows防火墙,而且默许已经启用,所以客户端创立到这台FTP服务器的控制连贯便会被封闭,此时需要在防火墙上开放对TCP 21端口的传入连贯。
被动模式下,因为服务器通过控制信道将用来监听客户端请求的端口号是随机发生的,此时需要在防火墙上开放的传入连贯的端口也是随机的。因为Windows防火墙不能像网络防火墙那样依据需要动态打开和关闭FTP服务要求的随机端口,所以需要静态开放全部可能的随机端口。
Windows Server 2008默许的动态端口范畴是49152-65535,而Windows防火墙的例外开放法则只能针对单一端口来开放,要开放49152-65535这个范畴内的一万多个端口,非常不切现实,更是会给运转FTP服务器的主机带来重大的平安要挟。
所幸的是,基于IIS7.0创立的FTP服务器允许将端口号牢固在自行指定的一个范畴中,如50000-50005,此时便只需要开放这一小段范畴的端口即可,大大晋升了平安性和配置Windows防火墙的效率。要是服务器上部署的是第三方防火墙,则需要稳重考虑怎样设置使之能平安保障FTP服务的正常运转。
脚本之家小编补充:
由于此刻大家服务器根本上都是用 FileZilla Server FTP服务器,他的例外要领就是通过增加端口或FileZilla server.exe为例外,最近由于针对 FileZilla Server 的提权
关于应用要领大家可以看下这篇文章(//www.jb51.net/books/552915.html),那么就需要屏蔽当地14147端口的对外连贯(运用防火墙或ip平安战略)。
