FTP在區網無法登入???

#ftp filezilla server dns ip

ken040714 2023-10-30 15:42:56 ‧ 2194 瀏覽

分享至

想請問一個鬼打牆的問題
對外只有一台中華電信 H660WM
裡面有做PORT轉發將21 PORT轉到FTP主機192.168.1.20
被動模式的ip範圍跟990也有做轉發過來
防火牆全關
有申請網域也有設定dns代管

在外面的網路可以用ftp.xxxx.com.tw連線到這台登入都沒問題
在內部區網只能指定192.168.1.20連線或主機上locolhost連線都可以
但用ftp.xxxx.com.tw或外網IP連線就會失敗
出現下方訊息
狀態: 已從伺服器離線
狀態: 正在解析 ftp.xxxx.com.tw 的 IP 位址
狀態: 正在連線到 113.33.11.111:21...
狀態: 連線已建立, 正在等候歡迎訊息...
狀態: 不安全的伺服器, 它不支援透過 TLS 的 FTP.
指令: USER weizhiftp
回應: 331 Password please.
指令: PASS
回應: 530 Login incorrect.
錯誤: 嚴重錯誤: 無法連線到伺服器

ftp軟體是FileZilla

更新已解決
架一台dns server讓ftp跟mailserver的網址優先指向對應內部ip即可

望空 iT邦新手 1 級 ‧ 2023-10-30 16:48:22 檢舉

nat lookback須設定，若是用routeros，須設定hairpin NAT

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

sd3388

iT邦好手 1 級 ‧ 2023-10-30 15:48:29

因為防火牆識別是外部IP轉內部IP
所以IP來源不對
因此連不到

把外網IP設到允許通過的來源就會通

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

ken040714 iT邦新手 5 級 ‧ 2023-10-30 16:03:03 檢舉

不太懂...請問要在哪裡設定給他通呢

ken040714 iT邦新手 5 級 ‧ 2023-10-30 16:04:53 檢舉

我有在NAT Loopback設定另一個ip是給虛擬機架mailserver使用的
跟這有關係嗎

sd3388 iT邦好手 1 級 ‧ 2023-10-30 16:29:30 檢舉

ftp.xxxx.com.tw一定不是你的WAN IP
但是內網去聯的時候
NAT Loopback回來會用WAN IP走你內網的政策
內網原本只允許192.168.1.20
所以來源是WAN IP就不給過
你要在政策來源加這個WAN IP

窮嘶發發發 iT邦高手 1 級 ‧ 2023-10-31 11:33:41 檢舉

"我有在NAT Loopback設定另一個ip是給虛擬機架mailserver使用的"
看到這段描述，就知道樓主不明白什麼是 "NAT Loopback"
這個功能中文翻譯叫做防火牆穿透，以目前有做法循的是絕對不能開的，
因為它等於在防火牆開一個孔給內部的穿透通道，
如果樓主不明白什麼是 NAT Loopback，可以把這兩個字搜尋一下或是問問AI，
順便了解一下他的風險是什麼，再來決定要不要開，
對防火牆或路由器來說，他的設定就是打勾勾而已，不需要任何的設定
理論上申請了域名，除了外部DNS，內部如果有主機服務對外，不開 NAT Loopback 的狀況下，
要讓內部用戶端可以使用 FQDN 存取對外服務，你內部要有一台內部專用的DNS，
按樓主講的他們除了 FTP 還有MX紀錄
例如對外IP可能是 1.1.1.1，FTP 是 21 MX 是 465，
內部IP的話 FTP 是 10.1.1.21 MX 是 10.1.1.168
那你在內部DNS的紀錄把這些紀錄上去，IP位址都是設定內部的IP位址，這樣就行了
當然用戶端要把DNS指向內部的DNS，不能用外部的，大致上觀念是這樣，給樓主參考