史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-10-01, 09:38 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 系統 - 防火牆後的serv-U 的port/pasv設定方法

總結出一點點心得,說錯了請大家糾正。

伺服器環境:win2003 stand server, serv-u 4.1, 開啟了2003自帶的防火牆,連接埠基本全封。

客戶端機環境:win2003 stand server, flashfxp, 也開了2003的ICF防火牆,連接埠全封。



-=-=-=- port方式 -=-=-=-=-=-=-=-

伺服器上:serv-u的連接埠一定要是21,ICF開啟預設的"FTP server"21連接埠。(由於ICF設連接埠的地方限定列表裡連接埠必需唯一,所以不能關閉預設的"FTP server"自己新增一個21連接埠的。)

客戶端機:flashfxp的options裡,site uses NAT 的留空不選,use Passive mode也留空不選。ICF不用開連接埠。

測試結果:OK。(如果port方式,serv-u用其他連接埠,會失敗,不能列目錄。)
-=-=-= PASV 模式 -=-=-=-

測試中,現狀是無法list。

以下三個步驟已做,不行。
1.設定serf-U的pasv 連接埠範圍,
2.伺服器防火牆開這幾個連接埠,
3.客戶端用pasv,客戶端的防火牆不用管。
可以自己開連接埠阿,新增一條規則。

用IPSEC block 了所有的進入本機的信息包,然後開啟需要開啟的連接埠,比如FTP的需要20 和 21,在客戶端不要用passive mode就行了,

IPSEC 設定如下,需然防火牆挺簡單,但是比一般人不會設防火牆安全得多了
Source IP Source Port Dest IP Dest Port Protocal Action
any any myIP 20 TCP Perimit
any any myIP 21 TCP Permit
any any myIP any any Deny
any 53 myIP any UDP Permit //以下兩個給DNS用的,DNS有時候會用TCP
any 53 myIP any TCP Permit


然後加上所需要的開的連接埠,比如想看網頁就要把相對的連接埠開啟,設定如下
any 80 myip any TCP Permit

如果想給某些IP開啟某個連接埠可以在Source IP 那裡加個網斷(IP位址和mask)就行了,那樣就只能那些IP才能看到那個連接埠是開著,其它都看不出
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-18, 05:09 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Serv-U配置詳解

Serv-U配置詳解


Serv-U是一個優秀的用於Windows平台的FTP服務器端程式。因此我對其配置做了一番研究,現貼與此:
一、Server設置

name: 用以描述標誌這一服務器,可以是任意名稱,與DNS名稱無關;
FTP server IP address or name: IP地址或DNS名稱,"127.0.0.1","ftp.aboutnt.com"等;
user name: 具有管理權限的用戶名;
Password: 口令
Administration port: 管理連接阜,serv-u管理程式通過該連接阜對遠端FTP服務器進行管理.對於"<< Local Server >>" 這個值是隨機自動配置的,如43958等,本連接阜只能在本機使用,遠端管理程式不能夠通過這個連接阜對"<< Local Server >>"進行管理.要管理遠端FTP服務器,通常使用預設的FTP連接阜即21.
Start Automatically (system service): 這個選項只存在於本機服務器.
Start/Stop Server: 啟動/停止服務器,對於遠端服務器,只出現停止按鈕.

[General]

Max. speed: 可以使用的最大帶寬(KB/S),如果不填寫將使用所有可用帶寬。如果不填數值,Serv-u將使用所有可用的帶寬,會導致其它的網路應用不可用,不建議。
Max. no. of users: 可以同時連入的最大用戶數,設置為0將不允許用戶連入,不填寫將不限制同時連入的用戶數目。
Check anonymous passwords: 檢查匿名用戶的口令。實際上只是檢查匿名用戶的口令像不像一個電子郵件地址,而不會驗證這個電子郵件是否真正存在。
Delete partially uploaded files: 刪除不完整的上載文件。如果選擇此項,系統會自動刪除沒有完全上載的文件;如果不選項此項,則FTP服務器就具備的中斷點續傳的功能。
Block anti time-out schemes: 防止反超時設置。一些FTP客戶端程式為了防止用戶長時間不操作而導致的超時離線,會自動的向服務器端發送一些命令。如果選擇了這一項,服務器將採用一種獨特的記時方式以防止客戶程式的這時反超時設置。
Block FTP_bounce attacks: 防止跨FTP攻擊,選擇此項將只允許客戶端與服務器之間進行文件傳輸,不允許任何服務器與服務器間的文件傳輸(FXP)。
Block users who connect more than XX times within YY seconds for ZZ minutes:
使用這一項可以防止用戶使用如網路螞蟻等高速下載軟件連接你的服務器。如果他們在YY秒內建立的並發連接數超過XX個,系統會立即終止超出的連接。也就是我們經常看到的封IP地址。這一項可以大大降低服務器的開銷。
Use all lower case for files/dirs: 文件與目錄的小寫敏感設置。

[Dir Cache]

用過FTP的都知道,每次下載一個文件都會有創建目錄列表的操作,這是一個比較慢的操作。Dir Cache允許配置是否快取記憶體用戶請求的目錄列表,這會大大提高系統的性能。

Enable cache: 選擇此項將啟動Cache功能。
Maximum size: Cache的最大容量。在95/NT下,預設被設置為25。當快取記憶體被填滿後用戶請求新文件時,服務器會進行過期操作,用新條目代快取記憶體中最舊的條目。
Time-out: 超時設置。目錄列表在快取記憶體中保留的時間。以秒為單位,預設為600。
Auto refresh: 自動更新快取記憶體列表訊息。
Cache List:所有被快取記憶體的目錄列表。

[Advanced]

在這個標籤下面的設置關係到系統的性能與安全,比較重要,因此要小心設置,通常預設的設置即可滿足大多數服務器的需要。

Encrypt passwords: 使Serv-U使用單向hash函數(MD5)加密用戶口令,加密後的口令儲存在ServUDaemon.ini或是註冊表中。如果不選擇此項,用戶口令將以明文形式儲存在文件中。改變這一選項將導致所有現存的口令失效,必須重新進行設置。
Enable security: 選擇此項將啟動服務器安全性,取消則服務器將無任何安全可言。強烈建議啟用。
Packet time-out (seconds): 資料包超時設置。
Dir listing mask: 目錄列表掩碼
PASV port range: 不填寫表示連接阜範圍從1024到65535.如果服務器位於防火牆後,建議設置範圍。

二、domain設置

類似於虛擬主機,一個Serv-U可以用來建立多個虛擬FTP服務器,每個FTP服務器在管理程式中稱之為一個域(Domain)。因此要使FTP服務器可用最少需要創建一個域。每一個域都有用戶、組和設置與之相關聯,一個域至少有一個用戶才有意義。在你第一次啟動Administrator管理程式時,通常嚮導會啟始你初始化一個域並創建一個用戶。通常的層次結構如下:
Serv-U Server
Domain 1
User account 1
User account 2
User account 3
Domain 2
User account 1
User account 2
Domain 3
User account 1
User account 2
每一個域包括:

name: 該域的描述名稱,用來標識該域,與DNS名稱無關。
Domain ip address: 該域所使用的IP地址,可以使用某個地址如10.10.10.10,也可以使用「Use any available IP address」選項使用多個地址。如果FTP服務器的地址是動態分配的,那麼此處可以不填。

在同一FTP服務器上的每一個域的IP與連接阜組合是唯一的。也就是說不能夠創建多個虛擬FTP服務器,它們共享相同的IP/連接阜,這與IIS的虛擬主機不同。

Domain type:有兩種:store in .ini file和store in computer registry。也就是將域配置訊息放置在ServUDaemon.ini文件中還是註冊表中。對於小於500個用戶的小型站點來說,建議將配置訊息放在ServUDaemon.ini文件中,超過這個用戶數目可以考慮使用註冊表類型的域。因為95/98/me.ini類型的文本文件有64K的限制,nt/2000雖然沒有這方面的限制,但當文本文件太大時,操作會比較慢。
註冊表位置是:\HKEY_LOCAL_MACHINE\Software\Cat Soft\Serv-U\Domains\
Ftp port number:域要監聽的Ftp連接阜,通常為21.

[General]

Max no. of users: 同時連入域的最大用戶數。不填為不限制。
Virtual path mappings: 虛擬路徑映射允許你將映射物理路徑到本機或網路的其它目錄中去。使用它你可以創建與你的物理目錄完全不同的虛擬路徑。如果用戶被鎖定在主目錄下,這項功能將允許他們訪問主目錄之外的其他目錄。

虛擬路徑包括:
Physical path:真實路徑。可以使用一般文件路徑或者是UNC路徑或者是網路驅動器。
Mapped to:映射到哪一處目錄下。可以使用如下的變數:
%HOME% - 代替用戶的主目錄
%USER% - 代替用戶的賬戶名
Virtual name:最終通過FTP客戶端顯示給用戶的路徑名。

上述概念比較難以理解,現舉例說明:
假設你將aboutnt用戶的主目錄設置為d:\aboutnt並將用戶限制於該目錄下,那麼用戶將只能夠訪問d:\aboutnt下的目錄和文件,如果用戶這時想訪問c:\data下的資料就需要虛擬路徑的幫助。可以這樣設置:在虛擬路徑交談視窗下單擊新增,物理路徑填寫:c:\data,映射到填寫:%home%或d:\aboutnt,虛擬路徑名稱填寫data,也就是將c:\data物理目錄映射到了用戶的主目錄下,資料夾的名稱為data。當用戶通過FTP客戶端連入服務器時,會在其主資料夾下出現一個名為data的子資料夾,而實際上這個資料夾並不物理的位於主目錄下。
請注意,虛擬路徑映射設置完畢後並不會立即生效,它需要用戶對該物理目錄進行目錄訪問規則設置,使該目錄允許用戶訪問才行。

Links: 類似於Unix下的link鏈接。

[IP Access]

允許你設置基於IP地址的訪問控制。按照預先制定的規則,客戶IP地址可以被允許或拒絕訪問FTP服務器。該限制可以基於IP地址也可以基於DNS名稱。

Edit Rule
編輯規則。首先要指定是允許訪問規則還是拒絕訪問規則,其次指定IP地址訊息。地址訊息中可以使用「*」、「-」和「?」通配符。
Rule List: 規則列表。預設情況下,沒有IP地址規則存在,允許所有IP地址訪問FTP服務器。一旦規則建立,登入的用戶在允許訪問之前必須通過規則檢查。
注意:規則的順序是非常重要的。系統會按從上到下的順序匹配規則,當找到第一條匹配的規則時會應用並停止向下進行匹配查找。如有如下的規則:

Deny: *.*.*.*
Allow: 202.202.*.*

上面的規則會拒絕任何地址的訪問,因為第一條規則會匹配所有的IP地址。用戶的原意可能是只允許以202.202開頭的IP地址訪問,那麼進行如下調整就可達到目的:

Allow: 202.202.*.*
Deny: *.*.*.*


[Message]

FTP提供了詳細的消息設置,這些消息都可以望文知義,因此不再做詳細的介紹。消息中可以使用變數,這些變數主要應用於:

登入/登出消息
指定的用戶登入消息
目錄改變消息

(1)Time/date
%Time - 你的PC上的當前時間
%Date - 你的PC上的當前日期

(2)Server statistics
%ServerDays - 服務器已經執行的天數
%ServerHours - 服務器已經執行的小時數
%ServerMins - 服務器已經執行的分鐘數
%ServerSecs - 服務器已經執行的的秒數
%ServerKbUp - 自服務器執行以來上載的文件總量(KB)
%ServerKbDown - 自服務器執行以來下載的文件總量(KB)
%ServerFilesUp - 自服務器執行以來上載的文件數目
%ServerFilesDown - 自服務器執行以來上載的文件數目
%LoggedInAll - 自服務器執行以來用戶的總登入數
%ServerAvg - 自服務器執行以來的平均吞吐量
%ServerKBps - 當前服務器的帶寬

(3)Server settings
%MaxUsers - 允許的最大用戶數目
%MaxAnonymous - 允許的最大匿名用戶數目

(4)User info
%Name - 用戶登入名
%IP - 用戶IP地址
%Dir - 用戶當前目錄
%Disk - 用戶當前磁碟驅動器
%DFree - 用戶當前剩餘空間(KB)
%FUp - 用戶上載文件總數
%FDown - 用戶下載文件總數
%FTot - 傳輸文件總數
%BUp - 用戶上載文件總量(KB)
%Bdown - 用戶下載文件總量(KB)
%BTot - 傳輸文件總量
%TconM - 總連接時間(分鐘)
%TconS - 總連接時間(秒)
%RatioUp - UL/DL的上載部分
%RatioDown - UL/DL的下載部分
%RatioCredit - 當前UL/DL中的下載信用(Kb或文件數目)
%QuotaUsed - 用戶所用空間配額(KB)
%QuotaLeft - 用戶剩餘空間配額(Kb)
%QuotaMax - 最大可用磁碟空間(KB)

(5)Number of users
%UNow - 當前連接到FTP服務器的用戶數目
%UAll - 自服務器啟動後連接上的用戶數目
%U24h - 最後24小時連入的用戶數目
%UAnonAll - 當前連入的匿名用戶數目
%UAnonThisIP - 使用此IP連入的匿名用戶數目
%UNonAnonAll - 當前連入的非匿名用戶數目
%UNonAnonThisIP - 使用此IP連入的非匿名用戶數目
%UThisName - 使用當前用戶名連入的用戶數目

[Logging]

允許你配置LOG選項。可以將訊息顯示在螢幕上也可以將訊息儲存在文件中。

UL/DL Ratios

指定不記入UL/DL Ratios中的文件。有如下四種情況:

1.文件名不包含路徑: 表示在任何目錄下名稱為指定文件名的文件都是「免費」的,如「index.txt」
2.文件名包含路徑但包含驅動器名: 表示在任何驅動器中的指定資料夾中的該文件都是「免費」的,如 '\homes\misc\readme.txt' 表示類似「c:\homes\misc\readme.txt」文件是免費的,「d:\homes\misc\readme.txt」...
3.文件名包括完整的驅動器符和路徑: 表示只有指定的該文件是「免費」的。
4.文件名支持通配符「*」和「?」。

[Advanced]

Allow MDTM command to change file date/time
Block future dates/times
上述兩項主要是針對特定的FTP客戶端。
Allow passive mode data transfers: 允許進行passive模式資料傳輸。
Use IP: 進行passive資料所用的外部IP地址。
三、User和Group設置

User設置

[Account]

Disable account: 禁止用戶賬號。
Automatically remove account on date: 自動在指定的時間刪除用戶賬號。
User Name: 用戶名,可以對用戶名進行修改。「Anonymous」用戶名為匿名用戶專用,它不需要口令,它以登入的用戶提供的E-mail地址作為口令。
Group(s): 任何用戶都可以屬於一個或多個組。組可以簡化對用戶的管理。
Password: 用戶的口令。
Home Directory: 主目錄,用戶登入後將直接進入該目錄下。每個用戶必須有一個主目錄,主目錄必須使用完整的路徑,包括磁碟驅動器或UNC共享名稱。
Lock user in home directory: 選擇此項用戶將被鎖定在自己的主目錄下,為安全起見建議選擇此項。
Privilege: 用戶特權,有五種選擇。

1.No Privilege--該用戶不能夠進行遠端管理,一般用戶應該選擇此項。
2.Group Administrator--賬戶可以進行遠端管理,但只能對本組用戶進行管理,不能對服務器進行管理。
3.Domain Administrator--賬戶可以進行遠端管理,但只能對本域進行管理,不能新增新域。
4.System Administrator--賬戶可以進行遠端管理且具有全部權限。
5.Read-only Administrator--此賬戶用來進行遠端診斷,可以看到全部的服務器設置但不能夠進行修改。

Notes: 對該賬號的說明,無任何用處。

[General]

Hide 'hidden' files: 隱藏具有隱藏內容的文件。
Allow only X login(s) from the same IP address: 防止用戶從一個IP多次登入。一個FTP客戶端會為不同的文件傳輸建立不同的登入會話。
Allow user to change password: 允許用戶改變密碼,部分FTP客戶端支持。
Max. upload and download speed: 最大的上載和下載速度。
Idle time-out: 空閒超時。
Session time-out: 會話超時。
Max. no. of users: 用戶使用同一用戶名可以同時連入服務器的最大數。
Login message file: 登入消息文件。
Password type: 口令類型。通常為'Regular Password'。

[Dir Access]

定義用戶的存取權限。包括:
1.Files
Read:允許用戶從服務器下載文件;
Write:允許用戶上載文件到服務器,但不允許修改、刪除和重命名;
Append:允許向存在的文件附加內容或者進行續傳;
Delete:允許用戶修改文件、重命名和刪除;
Execute:通常FTP執行命令,這個權限要小心使用,可能導致安全問題。

2.Directories
List:允許用戶取得該目錄下的文件列表;
Create:允許用戶在該目錄下創建新的子目錄;
Remove:允許用戶刪除目錄。

3.Sub-directories
Inherit:父目錄的訪問規則自動應用到子目錄上。

[IP Address]

(與上面Domain設置相同,略)

[UL/DL Ratios]

用戶上傳下載文件的一種信用機制

Enable UL/DL ratios: 啟用/關閉UL/DL比率
Count files per session: 計算每會話的文件數
Count bytes per session: 計算每會話的文件大小
Count files over all sessions: 計算所有會話的文件數
Count bytes over all sessions: 計算所有會話的文件大小
Uploads: 上載數
Downloads: 下載數
Preset/Current: 用戶信賴的字節/文件數。

[Quota]

你可以限制用戶或組能夠使用的最大磁碟空間。

Enable disk quota: 啟用/關閉磁碟配額。
Current X Kb: 當前空間使用情況。
Maximum X Kb: 用戶所能夠使用的最大磁碟空間。
Calculate current: 計算當前用戶佔用的磁碟空間。

Group設置
與用戶的設置基本相同,不再做介紹。

具體的設置請看Serv-U幫助文件
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:37 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1