查看單個文章
舊 2003-10-01, 09:38 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 防火牆後的serv-U 的port/pasv設定方法

總結出一點點心得,說錯了請大家糾正。

伺服器環境:win2003 stand server, serv-u 4.1, 開啟了2003自帶的防火牆,連接埠基本全封。

客戶端機環境:win2003 stand server, flashfxp, 也開了2003的ICF防火牆,連接埠全封。



-=-=-=- port方式 -=-=-=-=-=-=-=-

伺服器上:serv-u的連接埠一定要是21,ICF開啟預設的"FTP server"21連接埠。(由於ICF設連接埠的地方限定列表裡連接埠必需唯一,所以不能關閉預設的"FTP server"自己新增一個21連接埠的。)

客戶端機:flashfxp的options裡,site uses NAT 的留空不選,use Passive mode也留空不選。ICF不用開連接埠。

測試結果:OK。(如果port方式,serv-u用其他連接埠,會失敗,不能列目錄。)
-=-=-= PASV 模式 -=-=-=-

測試中,現狀是無法list。

以下三個步驟已做,不行。
1.設定serf-U的pasv 連接埠範圍,
2.伺服器防火牆開這幾個連接埠,
3.客戶端用pasv,客戶端的防火牆不用管。
可以自己開連接埠阿,新增一條規則。

用IPSEC block 了所有的進入本機的信息包,然後開啟需要開啟的連接埠,比如FTP的需要20 和 21,在客戶端不要用passive mode就行了,

IPSEC 設定如下,需然防火牆挺簡單,但是比一般人不會設防火牆安全得多了
Source IP Source Port Dest IP Dest Port Protocal Action
any any myIP 20 TCP Perimit
any any myIP 21 TCP Permit
any any myIP any any Deny
any 53 myIP any UDP Permit //以下兩個給DNS用的,DNS有時候會用TCP
any 53 myIP any TCP Permit


然後加上所需要的開的連接埠,比如想看網頁就要把相對的連接埠開啟,設定如下
any 80 myip any TCP Permit

如果想給某些IP開啟某個連接埠可以在Source IP 那裡加個網斷(IP位址和mask)就行了,那樣就只能那些IP才能看到那個連接埠是開著,其它都看不出
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3203 次