我在使用被动模式连接到 cisco asa 防火墙后面的 ftp 服务器时遇到问题。ftp 使用主动和“扩展被动”模式工作,但是:当我关闭“扩展被动”(ftp 控制台客户端应用程序中的 epsv)时,它不再工作 - 所有命令都会导致超时。但是,对于我们使用的某些应用程序,我们需要非“扩展被动”模式。
有任何想法吗?
谢谢,哈罗德
更新/解决方案
事实证明,这不完全是 ASA 的错,或者是吗?我不得不在 proftpd 配置中转换伪装。我将 proftpd-config 中的伪装地址设置为 ftp-server 域的 IP 地址,这在通过 asa 传递流量时导致了意外的事情。现在 - 没有地址伪装 - 一切都很好。
古老的话题,但我最近遇到了类似的问题,并认为我的 $.02 可能会对某人有所帮助。
就我而言,我们在稍旧版本的 ASA 后面运行 IIS 7.5,我们正在更换它。我们有一个现有的 FTP 站点,我的计划是简单地通过证书添加 FTPS 支持,也许让我们的网络管理员打开一些端口。IIS 对每个名为“防火墙的外部 IP 地址”的 FTP 站点都有类似的伪装设置,这本身就具有误导性。
TL/DR 版本:如果您的 FTP 服务器允许您指定伪装 IP 和用于 PASV 连接的端口范围,您应该能够通过打开这些端口并禁用 ftp 检查来解决此问题。
由于其他一些限制,我无法在我们的 ASA 上禁用检查,所以我不得不做出一些妥协。这是我观察/学到的:
因此,在我们的案例中,当我设置伪装 IP 时,我能够通过 FTPS 正常连接,但常规 FTP 会失败。当我删除伪装 IP 后,我仍然能够使用 CuteFTP 连接到 FTP 和 FTPS,但是我们的主客户端无法连接到 FTPS。(他们的系统不够“聪明”,无法翻译不可路由的 IP……)
所以我蹩脚的解决方法是使用两个单独的站点:一个使用伪装 IP 并需要 SSL,另一个站点没有。
TMI,但也许它可以帮助某人解决这个问题。
您需要使用“fixup”命令为 FTP 启用应用程序级过滤:
PIX 上的这篇文章也适用于 ASA:
http://www.ciscopress.com/articles/article.asp?p=24685
您可能需要创建一个规则来允许 Pasv 端口,而不仅仅是端口 21。在您的 FTP 程序中,它们通常有一个配置设置,您可以在其中指定客户 Pasv 端口范围。指定一些高范围的端口,比如 45200 到 45500 或类似的东西。然后在您的 ASA 中允许这些端口连接到 FTP 服务器的 IP。
ASA 没有像 PIX 那样的修复命令。
您是否通过服务策略规则对 FTP 流量使用默认检查?
您好尝试以下方法:
ftp模式被动
策略映射 global_policy
类检查_默认
检查 ftp
我不确定第一个命令是做什么的,但我在几个正在运行的配置中看到了它。试一试
但我很确定您需要创建一个带有 ftp 检查的策略映射。这就是他们之前在 pix 上称为修复协议的东西。当反对者选择他们想要交谈的哪个端口时,它允许 asa 打开一个会话。
您可以改用隐式 SFTP,然后您只需要担心要打开一个端口。
我认为命令“ftp 模式被动”是供 asa(路由器本身)发送或接收到或从其自身的配置。不是为了传递会话。正是我发现的......