Firewall
使用 FTPS 時需要打開哪些防火牆埠?
我需要訪問供應商站點上的 FTPS 伺服器 (vsftpd)。供應商在 ftps 伺服器前面有防火牆。我的 FTPS 客戶端前面有防火牆。
我知道需要打開埠 990、991 和 989 來控制流量。
我有一些疑問:
- 從供應商的防火牆角度來看,是否應該為入站和出站流量開放這些埠?
- DATA 通道的埠呢?
- 我必須打開1000以上的所有埠嗎?
- 我應該對入站和出站流量都這樣做嗎?
我對 FTP over SSL (ftps) 的理解是它不適用於防火牆和 NAT。在普通的 FTP 會話中,防火牆會讀取數據連接資訊,並修改 NAT,以便防火牆動態打開所需的埠。如果該資訊受 SSL 保護,則防火牆無法讀取或更改它。
使用 SFTP 或 scp 使網路管理員的工作變得容易得多 - 一切都發生在伺服器的 22 埠上,並且事務遵循正常的客戶端/伺服器模型。
沒有提到的一件事是您的防火牆是否正在執行 NAT,以及它是靜態 NAT 還是動態 NAT。如果您的客戶端電腦具有靜態地址或正在靜態 NAT,假設您允許所有出站流量並且伺服器僅在被動模式 (PASV) 下執行,您可能不需要進行任何防火牆更改。
要確切知道需要打開哪些埠,您需要:
a) 與供應商交談,了解他們的系統是如何配置的。
b) 使用協議分析器(例如 tcpdump 或 wireshark)來查看來自防火牆外部和防火牆內部的流量
您需要找出哪個埠是控制連接。你列出了 3,這對我來說似乎很奇怪。假設伺服器僅在 PASV(被動)模式下工作,您需要弄清楚伺服器如何配置為分配的 DATA 埠。他們是否已將 DATA 通道鎖定到單個入站埠?他們是否已將 DATA 通道鎖定到小範圍或埠?
有了這些答案,您就可以開始配置防火牆了。