Firewall

在備用 FTP 埠上使用 IIS6 FTP 服務時如何限制 FTP 埠?

  • August 8, 2009

我想在 Windows 2008 伺服器上使用 IIS 6 中的 FTP 服務在非標準埠(即不是 21)上設置 FTP 服務。

我已經對其進行了設置並在本地進行了測試-一切正常。

但是我在遠端訪問它時遇到了問題。我可以 Telnet 到新埠並看到 FTP 響應,但我無法創建真正的 FTP 連接。

所以我認為從我的遠端 PC 到伺服器的連接的防火牆埠是打開的,但是從伺服器到我的 PC 的響應發生在一個隨機埠上。

為了限制 IIS 6 FTP 服務中使用的返回(出站)埠,我遵循了此處詳述的步驟:事件 ID 16 — IIS FTP 服務配置(雖然adsutil.vbs不在伺服器上,所以我從另一個來源並使用它)。

然後我使用了執行正常的命令cscript.exe adsutil.vbs set /MSFTPSVC/PassivePortRange “6000-7000”。那時

然後我跑了net stop msftpsvcnet start msftpsvcsc query msftpsvc

一切正常,但是當我使用 Wireshark 進行測試時,我可以看到埠 6000-7000 沒有被使用。

知道可能出了什麼問題嗎?

請參閱MS 知識庫文章 555022

本文介紹 FTP 使用的埠。連接是通過控制埠進行的,但數據傳輸是通過不同的埠進行的。嘗試在 IIS 中配置一組有限的數據傳輸埠,並將防火牆配置為允許這些埠用於您的 FTP 伺服器 IP。

我使用網路嗅探器來解決這些問題。防火牆可能是罪魁禍首,因此分析防火牆外部和內部的網路流量可以揭示 FTP 連接具體出了什麼問題。

檢查防火牆策略的一件事是,非標準埠實際上配置為處理 FTP 流量。似乎該策略已配置為啟用與非標準埠的 TCP 連接。是否已將策略配置為允許專門的 FTP 流量?

如果您使用只能執行 NAT 和基本數據包檢查的低端防火牆(即,不是 TCP 狀態感知防火牆),那麼您需要將 FTP 伺服器配置為僅允許被動模式,將 FTP 伺服器配置為只允許在一些小範圍的埠(10 或 20?)上進行 DATA 連接,然後將防火牆配置為允許那些 10-20 埠的入站連接到 FTP 伺服器。

引用自:https://serverfault.com/questions/16761