從 Forefront TMG 後面訪問 FTPS
我有一個 IIS 7 託管啟用 SSL 的站點的 Web 伺服器。
我試圖聯繫的客戶位於公司 Forefront TMG 的後面。該應用程序是 Total Commander - 一個文件管理器外殼,它能夠通過在 FTP 連接設置中勾選 SSL/TLS 來連接到 SSL FTP。
啟用 FF 中的 FTP 訪問過濾器後,我的連接嘗試在 FTP 連接的協商 TLS 步驟中失敗。即使我在過濾器的設置中啟用了允許活動 FTP,也會發生同樣的情況。
但是當我完全禁用 FF 上的 FTP 訪問過濾器時,我可以正常連接。
如何配置 FF TMG 以允許 FTPS?
TMG 不支持 FTPS(即 FTP + SSL,而不是 SFTP 或 SSH 文件傳輸,通常可以正常工作)
FTPS 真的很難用 FTP 過濾器來做,因為 FTP NAT 過濾器會監視 NAT 後面的客戶端發送到 FTP 伺服器的資訊,而加密會導致這些資訊不可見。這讓 NAT 檢查員很惱火。
如果 Total Commander 支持使用 HTTP 代理,您可以通過將其配置為使用 HTTPS 連接來相當容易地解決這個問題(通過 ye olde CONNECT-to-get-a-plain-TCP-channel hack)。
為此,您還需要配置 TunnelPortRanges 以允許目標埠就好像它是 SSL。 http://technet.microsoft.com/en-us/library/cc302450.aspx
另類的選擇!
如果(這裡的長列表)
- 您僅使用 PASV(因此有多個出站連接)
- 您的初始連接位於埠 21
- 您對使用“所有協議”規則的客戶端並不不滿
那麼你可以設置
TCP 出站的協議定義,目標埠 21,未綁定到 FTP 過濾器(“NONFTP FTPS”)
允許從客戶端 IP 到伺服器 IP 的 NONFTP FTPS 規則
- (我假設它只需要鎖定到一個客戶端和伺服器;否則“任何地方”都可以,如果你沒問題的話)
緊隨其後的一條規則,拒絕具有相同源/目標的 FTP(真正的 FTP)
遵循該規則的規則,允許源 IP 和目標 IP 之間的所有出站流量(或至少,預期埠上的所有 TCP 連接)
並且應該在允許客戶端完全訪問所有協議和埠的任何其他規則之前對這組規則進行排序。
DENY FTP 規則很重要
a) 緊接在使用未綁定應用程序過濾器的協議的特殊 FTP 規則之後,以及
b) 在任何其他可能允許客戶端使用 Good Old FTP 到目標 IP 的規則之前(否則 TMG 更喜歡帶有應用程序過濾器的協議定義,這是我們在這裡不想要的 - 我們希望 TMG 直接對待它TCP)
我認為這將涵蓋所有 FTPS 場景。原理與此相同。