在備用 FTP 埠上使用 IIS6 FTP 服務時如何限制 FTP 埠?
我想在 Windows 2008 伺服器上使用 IIS 6 中的 FTP 服務在非標準埠(即不是 21)上設置 FTP 服務。
我已經對其進行了設置並在本地進行了測試-一切正常。
但是我在遠端訪問它時遇到了問題。我可以 Telnet 到新埠並看到 FTP 響應,但我無法創建真正的 FTP 連接。
所以我認為從我的遠端 PC 到伺服器的連接的防火牆埠是打開的,但是從伺服器到我的 PC 的響應發生在一個隨機埠上。
為了限制 IIS 6 FTP 服務中使用的返回(出站)埠,我遵循了此處詳述的步驟:事件 ID 16 — IIS FTP 服務配置(雖然adsutil.vbs不在伺服器上,所以我從另一個來源並使用它)。
然後我使用了執行正常的命令cscript.exe adsutil.vbs set /MSFTPSVC/PassivePortRange “6000-7000”。那時
然後我跑了net stop msftpsvc,net start msftpsvc和sc query msftpsvc。
一切正常,但是當我使用 Wireshark 進行測試時,我可以看到埠 6000-7000 沒有被使用。
知道可能出了什麼問題嗎?
本文介紹 FTP 使用的埠。連接是通過控制埠進行的,但數據傳輸是通過不同的埠進行的。嘗試在 IIS 中配置一組有限的數據傳輸埠,並將防火牆配置為允許這些埠用於您的 FTP 伺服器 IP。
我使用網路嗅探器來解決這些問題。防火牆可能是罪魁禍首,因此分析防火牆外部和內部的網路流量可以揭示 FTP 連接具體出了什麼問題。
檢查防火牆策略的一件事是,非標準埠實際上配置為處理 FTP 流量。似乎該策略已配置為啟用與非標準埠的 TCP 連接。是否已將策略配置為允許專門的 FTP 流量?
如果您使用只能執行 NAT 和基本數據包檢查的低端防火牆(即,不是 TCP 狀態感知防火牆),那麼您需要將 FTP 伺服器配置為僅允許被動模式,將 FTP 伺服器配置為只允許在一些小範圍的埠(10 或 20?)上進行 DATA 連接,然後將防火牆配置為允許那些 10-20 埠的入站連接到 FTP 伺服器。