实验环境:

设备说明:

  internet是一台windows10,用于模拟外网客户

  ASA是思科ASA防火墙

  FTP-SERVER是Centos7,Centos7上安装了vsftpd

实验说明:

  本文章共有两个案例

  第一个案例:演示FTP-SERVER配置为主动模式的ftp,然后网络防火墙(ASA)与主机防火墙(firewalld)该如何放行。

  第二个案例:演示FTP-SERVER配置为被动模式的ftp,然后网络防火墙(ASA)与主机防火墙(firewalld)该如何放行。

基本配置:

先配置一下ASA接口IP地址并划分区域,internet与FTP-SERVER接口地址的配置这里就不做演示了。

  ciscoasa(config)# int g0/0

  ciscoasa(config-if)# ip add 172.16.10.254 255.255.255.0

  ciscoasa(config-if)# nameif dmz

  ciscoasa(config-if)# security-level 50

  ciscoasa(config-if)# no shutdown

  ciscoasa(config)# int g0/1

  ciscoasa(config-if)# ip add 1.1.1.1 255.255.255.0

  ciscoasa(config-if)# nameif outside

  ciscoasa(config-if)# no shutdown

现在所有设备的接口地址已经配置完毕,ASA也为接口划分了区域,接下来进入正题,配置第一个案例。

第一步:我们是对公网提供FTP服务,为了数据的安全性,我们使用证书加密FTP传输的数据,接下来创建用于加密FTP数据的自签名证书。

第二步:在FTP-SERVER上安装vsftpd,然后进入vsftpd的配置文件,只需要添加一些有关FTP数据加密的配置(第三个截图)vsftpd默认就是主动模式的FTP,之后重启vsftpd,在firewalld放行FTP的21号端口,我们知道主动的FTP会使用到两个端口,20与21,为什么我们在firewalld只放行了21号端口,关于这个问题我们之后在做解释。

第三步:

1.将FTP-SERVER的21号端口映射出去。

ciscoasa(config)# object network ftp-server

ciscoasa(config-network-object)# host 172.16.10.1

ciscoasa(config-network-object)# nat (dmz,outside) static interface service tcp ftp ftp

2.放行从outside到dmz的FTP流量,到这里端口映射就做好了,你可能会疑惑,为什么没有映射20号端口,我们之后再做解释。

ciscoasa(config)# access-list outside-dmz extended permit tcp any host 172.16.10.1 eq ftp

ciscoasa(config)# access-group outside-dmz in interface outside

3.配置nat地址转换,让FTP-SERVER可以访问公网,为什么要让FTP-SERVER可以访问公网呢?这跟主动模式的FTP服务有关,之后在做解释。

ciscoasa(config)# object network ftp-server-snat

ciscoasa(config-network-object)# host 172.16.10.1

ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface

第四步:

使用工具FileZilla(注意:使用ssl加密的FTP需要使用一些工具才能连接,windows与linux自带的ftp客户端无法连接ssl加密的FTP),测试实验是否成功,在internet上连接FTP,步骤如下图。

1.设置连接服务器的信息。

2.使用主动模式去连接,默认就是主动。

3.点击connect之后成功连接上了FTP。

理解FTP的主动模式:

现在我们通过理解FTP的主动模式来回应之前提到的三个问题吧,如下图所示,主动模式的FTP实际上是经过了两次TCP三次握手完成的。这两次TCP三次握手,一次是由客户端主动发起到FTP服务器的连接,FTP客户端以大于等于1024的源端口向FTP服务器的21号端口发起连接。一次是由FTP服务器通过20号源端口向客户端大于1024的目的端口发起连接。从FTP主动模式的原理我们得知,当第一次TCP三次握手完成以后,我们的FTP-SERVER会使用20号源端口主动向客户端发起连接,配置NAT地址转换就是为了FTP-SERVER可以向客户端发起连接,而客户端不会主动去连接FTP-SERVER的20号端口,所以网络防火墙和主机防火墙才不用放行20端口。

第二个案例,配置vsftpd为被动模式,配置放行网络防火墙与主机防火墙。

第一步:我们还是使用上面的环境,现在来配置vsftpd为被动模式。

其他配置不变,添加上以下内容即可,之后重启vsftpd。

在原有的基础上放行firewalld端口即可,被动模式的FTP服务端会使用随机大于1024的端口来传输数据,vsftpd可以将这个随机端口配置为不小于10的端口范围。

第二步:网络防火墙ASA的配置。

1.为outside-dmz再添加一条访问控制条目。

ciscoasa(config)# access-list outside-dmz extended permit tcp any host 172.16.10.1 range 10000 10010

2.取消为FTP-SERVER配置的nat地址转换与端口映射。

ciscoasa(config)# no object network ftp-server-snat

ciscoasa(config)# no object network ftp-server

3.添加一条新的端口映射,将172.16.10.1直接映射到公网IP,由于访问控制列表的存在,所以不用担心安全方面的问题。

ciscoasa(config)# object network ftp-server

ciscoasa(config-network-object)# host 172.16.10.1

ciscoasa(config-network-object)# nat (dmz,outside) static interface

第三步:将FTP客户端工具FileZilla修改为被动模式,连接即可。

看图理解FTP的被动模式:

思科ASA放行主/被动FTP的更多相关文章

  1. 思科 ASA 系列防火墙 官方文档下载指南

    思科 ASA 系列命令参考 思科 ASA 系列命令参考,A 至 H 命令 思科 ASA 系列命令参考, I 至 R 命令 思科 ASA 系列命令参考,S 命令 思科 ASA 系列命令参考, ASASM ...

  2. 【python】ftp连接,主被动,调试等级

    示例代码如下: #!/usr/bin/env python # -*- coding: utf-8 -*- import os from ftplib import FTP def ftp_down( ...

  3. 思科ASA 基础学习

    ASA int e0/0 ip add 192.168.1.1 24nameif insidesecruity-leve 100 int e0/0/0ip add 192.168.2.1 24name ...

  4. 思科ASA对象组NAT

    ACL对象组NAT配置 ciscoasa#conf t ciscoasa(config)#hostname ASA ASA(config)#domain-name asa.com ASA(config ...

  5. 思科ASA基本配置

    ------------恢复内容开始------------ ASA基本配置 ciscoasa#show running-config        //讲解已作的默认配置 ciscoasa#conf ...

  6. 思科ASA系列防火墙配置手册

    使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 ...

  7. FTP主/被动模式的原理

    ---------------------------------------------------------------------------------------------------- ...

  8. FTP Proxy Server

    本文将在Linux环境下实现一个简单的FTP代理服务器,主要内容涉及FTP主动/被动模式和简单的Socket编程. 1. 主动模式和被动模式 FTP有两种模式,即主动模式(Active Mode)和被 ...

  9. 【腾讯云】腾讯云服务器搭建ftp服务器

    一.硬件描述 1.1 云服务器:腾讯云 云主机 操作系统:Ubuntu Server 14.04.1 LTS 32位 CPU:1核 内存:1GB 系统盘:20GB(本地磁盘) 数据盘:0GB 公网带宽 ...

随机推荐

  1. 重装Windows系统 入门详解 - 基础教程

    重装Windows系统 入门详解 - 基础教程 JERRY_Z. ~ 2020 / 10 / 13 转载请注明出处!️ 目录 重装Windows系统 入门详解 - 基础教程 一.说明 二.具体步骤 ( ...

  2. DM9000裸机驱动程序设计

    对于任何一个硬件模块的设计,首先第一步都是要先了解硬件本身后,再开始程序的软件设计.而由于DM9000的芯片文档内容很多,要驱动好网卡,需要很长时间,特别对于新手比较困难,所以可以参考linux内核代 ...

  3. JS中实现Trim(),TrimStart(),TrimEnd() 的方法

    //去除字符串头尾空格或指定字符 String.prototype.Trim = function (c) { if (c == null || c == "") { var st ...

  4. mysql间隙锁 转

    前面一文 mysql锁 介绍了mysql innodb存储引擎的各种锁,本文介绍一下innodb存储引擎的间隙锁,就以下问题展开讨论 1.什么是间隙锁?间隙锁是怎样产生的? 2.间隙锁有什么作用? 3 ...

  5. fedora30平台安装docker 19.03

    一,下载docker 1,说明:docker的打包对于fedora的支持很及时, 所以在fedora 30/31上都可以直接使用官方的rpm包 下载地址: https://download.docke ...

  6. 【应用服务 App Service】快速获取DUMP文件(App Service for Windows(.NET/.NET Core))

    问题情形 当应用在Azure 应用服务App Service中运行时,有时候出现CPU,Memory很高,但是没有明显的5XX错误和异常日志,有时就是有异常但是也不能明确的指出具体的代码错误.当面临这 ...

  7. MySQL备份和恢复[2]-基于LVM的快照备份

    准备工作 请求锁定所有表 mysql> FLUSH TABLES WITH READ LOCK; 记录二进制日志文件及事件位置 mysql> FLUSH LOGS; mysql> S ...

  8. CentOS8 yum安装Mariadb10.4

    CentOS8 yum安装Mariadb10.4 https://downloads.mariadb.org/mariadb/repositories/#distro=CentOS&distr ...

  9. ValidatorException-异常

    Java在发送Https请求的时候,不可避免的会发生SSL证书认证失败 错误信息:sun.security.validator.ValidatorException: PKIX path buildi ...

  10. 实战一:建立springcloud基础项目结构

    一,,创建父工程,用于管理项目依赖版本 1,new -> project -> maven 2,修改pom.xml,这里管理了springboot,springcloud,springcl ...