iT邦幫忙

0

MIS人員可能限制大陸位址來連線FTP嗎?

情形是這樣的:在台灣、大陸、美國三個地區我們公司分別皆租用了當地的專屬主機用來提供Web Server,而我們公司在台灣內部有一台FTP主機用來接收外面三區定時傳入的資料庫備份檔案。然而只有台灣區那台主機能連線到FTP,其他大陸與美國兩區皆無法連入到FTP Server。
想請問各位的是,MIS有可能在硬體防火牆限制了地區連入嗎(MIS說沒有但我不相信,因被騙過一次了)?或者我該如何追蹤是哪一段出的問題呢?

萬一真的沒有別的方法
不妨採用山不轉路轉的方法
就是將
「美中台各點送回資料」
改成
「由台灣連出去美中台各點取回資料」

由於一般安全控管都擋進不擋出
或許這是一個沒有辦法中的辦法
6
jackwan
iT邦研究生 4 級 ‧ 2010-06-15 15:18:18
最佳解答

從公司外面(ex:家中)連回公司的FTP試試看就知道了,
在DOS模式輸入: telnet 60.xxx.xxx.xx 21
假如不能連線就是ftp被公司擋掉.
假如可以連線,很可能是其他兩區(大陸、美國)阻擋ftp聯外.

備註: 公司擋ftp 是正常的.

andy1020 iT邦新手 5 級 ‧ 2010-06-15 15:44:59 檢舉

老大,您還是沒看懂我的問題啊...
首先,在中華電信機房的機器可以用FTP連回公司(所以MIS說沒檔)...
再來,美國與大陸可以互連...

10
shunyuan
iT邦研究生 1 級 ‧ 2010-06-14 17:02:24

就算有限制,也可以很簡單用 socket server 來騙過去。No

用 SSH 及 SFTP 吧。喜歡

andy1020 iT邦新手 5 級 ‧ 2010-06-14 17:13:01 檢舉

不懂大大的意思內...

FTP Server是我建置的,簡言之,那三台Web Server和一台FTP Server共四部主機都是我建置的,然而公司的對外對內控管就是MIS的權力了...

shunyuan iT邦研究生 1 級 ‧ 2010-06-15 00:05:19 檢舉

Client 可以透過 在世界各地的 socket server 在連到你的 FTP server,可以想要是哪一個位置的 IP 都沒有問題。這個方法很常見,也不需要特別的知識,你只要知道哪裡有 socket server 就行了。不耐煩

12
raytracy
iT邦大神 1 級 ‧ 2010-06-14 17:27:33

您也應該要懷疑, 是否大陸和美國的機房內, 有 IDC 的防火牆限制 FTP 連出?

要測試也很簡單, 找幾個在公司以外, 您可以上傳檔案的 FTP 站, 從大陸和美國傳檔案上去看看. 如果可以傳上公司以外的 FTP, 卻無法傳入公司內的 FTP, 那就可以合理懷疑是公司的防火牆阻擋掉了.

但若連公司外的 FTP 都傳不上去, 那禍首可能是在 IDC 機房內的防火牆...

andy1020 iT邦新手 5 級 ‧ 2010-06-14 17:56:31 檢舉

我在大陸的主機上能連到美國主機上建立的FTP,所以這樣能很肯定的表示是公司有檔囉?

raytracy iT邦大神 1 級 ‧ 2010-06-14 18:20:54 檢舉

如果是這樣的話, 公司內擋的可能性就大大提高了....

sharbui iT邦新手 3 級 ‧ 2010-06-20 00:00:58 檢舉

CN對US OK..!= CN to TW OK && US to TW OK

10
japues
iT邦高手 2 級 ‧ 2010-06-14 19:45:46

要看你們這樣連線能有什麼特殊的作用吧,不然他們幹麻要限制
既然是你建的,你在建立過程沒有新自測過連線嗎

ayu iT邦好手 4 級 ‧ 2010-06-15 03:43:52 檢舉

如果:
* firewall是事後再架上去的
* firewall rules 有新增/異動, 而管理人並沒有架站相關應用,
除非是老練的網管, 很難察覺這些rules的影響.

andy1020 iT邦新手 5 級 ‧ 2010-06-15 14:11:27 檢舉

作用我有說了啊...是要將大陸的資料備份回來台灣!
(有三台server在中華電信的機房都有在執行自動備份回來)

10
plums
iT邦高手 1 級 ‧ 2010-06-14 23:07:39

版大說明的情況讓在下非常的疑惑,你不是MIS嗎?為何你可以建立那麼多台的SERVER,結果對外的網路你卻不能掌握?你既然有能力建立那麼多台網路運用的SERVER,那就表示你有一定的SENSE可以判斷網路的運作的...

既然公司真有這樣的限制,而你也沒有權限去干涉,那就應該好好做好自己本身的職責就好了,就如你的說明一樣,FTP上的都是公司備份的資料,為何想用特地的(不被允許的)的位址去連線?

看更多先前的回應...收起先前的回應...
ayu iT邦好手 4 級 ‧ 2010-06-15 03:30:19 檢舉

資訊規模(不一定是人數)大到某個程度, MIS就可能依內容性質再細分,
路由器/防火牆/DNS/架站應用..等等, 沒協調好或是設定上/觀念上的差異,
就很有機會造成各種意外. 我以前也常遇過的, 該業務管理人基本功不夠,
說了對方又不相信, 就得提出具體證據, 有時可能還得浪費時間爭辯甚至拍桌子,
功力夠的, 稍微檢查一下就會知道問題在哪, 大家都可輕鬆愉快.

andy1020 iT邦新手 5 級 ‧ 2010-06-15 14:18:11 檢舉

我是軟體部門的!
會建置那些Server是用來放我們開發的系統。
所以我們需要把外面的系統資料定時備回來我們公司內部儲存。

所以,跟MIS所負責的事務差很多了

ayu iT邦好手 4 級 ‧ 2010-06-17 01:00:38 檢舉

台灣內部的FTP主機, 可否暫時不要接在防火牆之下?
(當然, 主機的相關網路設定可能需要暫時異動)
倘測試從中美兩方來的ftp request可通, 即證明是自家防火牆擋掉了.

andy1020 iT邦新手 5 級 ‧ 2010-06-18 09:43:45 檢舉

你說的防火牆是硬體還是軟體?
軟體沒開,但硬體我就無法得知與接觸了,因那在機房MIS管著...

ansonchen iT邦新手 1 級 ‧ 2010-06-22 22:31:04 檢舉

那就去詢問協調啊 = =
確認幾個方式得知是否網路控管

1.FTP你建的不可能你自己擋掉還不知道
2.你建置後他們上防火牆後 (不能連線FTP與有測試過外部連線FTP成功)?
3.跟MIS確認連線到FTP policy 來源 目的
一般你測試2.後不通 應該是通知MIS協助處理 或 請他測試啊!!
瞎猜只是浪費時間

除非你對網路有興趣學習 可以先Debug後
再依照我說的步驟完成你的job

10
ycl8000
iT邦高手 1 級 ‧ 2010-06-15 08:10:40

之前遇到一個問題分享一下, 我司位於上海的公司,日前申請中國電信固定IP的網路,結果之後發現某些網站連不上去,而這些網站都是客戶的網站,很重要必需要能連上,遶了一大圈扯東扯西的,結果是中國電信提供的IP有問題,已被美國多數ISP列為黑名單(中國電信工程人員自己講的),後來申請更換IP後就OK了.

6
johnson324
iT邦新手 4 級 ‧ 2010-06-15 14:11:52

下載 nmap, 有Windows版, 從各個主機偵測ftp port是否有打開即可.

內部應用建議用vpn(可用軟體做), 可以避免官方干擾.

andy1020 iT邦新手 5 級 ‧ 2010-06-15 14:45:15 檢舉

PORT都有開放了。

port 有開, 外點未必能連, 因為可用防火牆管制哪些點可連, 還有FTP本身也有管制設計, 也可管制哪些點可以連線, 可否匿名, 還可管制用哪種FTP模式(主動/被動), 所以您需要先了解這些原理, 再用Nmap工具去檢測.

6
sharbui
iT邦新手 3 級 ‧ 2010-06-19 23:59:51

台灣(外)對台灣(內) OK
美國對台灣(內) NG
中國對台灣(內) NG

recheck ip
recheck ftp server ACL..
recheck CN.US ISP ACL..
recheck 台灣(內) fw rule..

您也在台灣(內)的網路吧?.申請一個RULE.自架FTP.測試看看吧?
fw 應該有列出connect 的能力....請MIS同步上線觀查吧...
在家架FTP測試?..
提供台灣(內)的IP向CN與US的ISP詢問吧...
還扯到部門管理權限問題...找找大頭吧...

我要發表回答

立即登入回答