各位前輩們好
想請教一個關於Fortigate 200E防火牆規則設定的問題
就是原本防火牆內有一台群輝的NAS 因此基本的20-21port已經被用掉了
上周公司進了一台新的群輝NAS
因此在規則上
我先建立了一個虛擬IP 將port改為 5020-5021 對應NAS的20-21
接著建立了一個政策 套用上面的設定
結果使用 Filezilla連線時
帳號密碼有過
卻一直出現
伺服器以無法路由的 IP 位址送出了被動式回應. 改為使用伺服器 IP 位址.
然後目錄一直沒過來,我認為是20 port設定問題
連舊的那一台是正常的
想請問
我有哪邊設定有錯嗎
已邀請的邦友 {{ invite_list.length }}/5
你也可以試試將TCP-20,TCP-21分開來做做看
不要直接port20-21這樣
because uses TCP port 21 for command
and TCP port 20 for data transfer.
可能分開做Port Forwarding搞不好會成功
不一定可以, FTP的特性有點特別
20是因為先有21才能建立
旦20又不是一種單純的新session
CMWANG兄是正解, 而且只要做vip給5021就可以了
我都尊重bluegrass大大的意見
因為最近沒空作LAB
只模糊有印象
不知cmwang大大是只G資料
還是有實戰經驗
passive mode ftp問題出在client端下pasv後,server會透過port 21告訴client接下來的資料要連哪個IP和port,如果是走default的port 21,FW的session helper會負責改寫這部份,但不是走port 21的話,session helper自然不知道要改寫port 5021了,這就是client端會顯示"伺服器以無法路由的 IP 位址送出了被動式回應. 改為使用伺服器 IP 位址"的原因(不想搞這麼複雜的話改用non passive ftp就不會遇到這事,但可能會變成被client端的FW擋掉),單純對port 21開forward並不會自動幫你做這件事(精確的說法是Fortigate的VIP+ACL其實就是幫外網client->內部server時做DNAT+port forwarding)....
感謝cmwang大大說明釋疑,感謝
不過我看手冊做Virtual IPs with port forwarding時
Fortigate是已經完成DNAT + port forwarding
或許policy改用proxy mode就能成功嗎?
下次有空我做LAB再試試
我照你的方式 設定物件轉port 20 21 22 三個規則就解決了
iThome鐵人賽
看影片追技術