У моего клиента есть FTP-сервер IIS 7 в активном режиме, расположенный за Cisco ASA 5505. Эта настройка известна как хорошие, поскольку внешние клиенты (после прохождения инструкций по настройкам IE) могут без проблем подключаться к FTP-серверу. FTP из командной строки в Windows и FileZilla, установленный в активный режим, также работают должным образом.
В дочерней компании этого клиента теперь есть пользователи, которые пытаются подключиться, но не могут. Даже если IE настроен правильно и FileZilla установлен на Active. Кажется, что канал команд иногда устанавливает соединение, но канал данных всегда дает сбой. Эта дочерняя компания также использует Cisco ASA 5505. Я уверен, что проблема заключается в конфигурации их ASA.
Как видно из фрагмента конфигурации ниже, в их ASA включена опция глобальной конфигурации «пассивный режим ftp», и я почти уверен, что проблема в этом. Я пытаюсь выяснить, какие конфигурации предложить им добавить в свою конфигурацию, но я бы очень признателен за предложения ... Я новичок в ASA и все еще пытаюсь разобраться в этом вопросе.
ASAVersion7.2(2)
!
**ftpmodepassive**
clocktimezoneEST-5
clocksummer-timeEDTrecurring
dnsserver-groupDefaultDNS
domain-namevbllc.com
same-security-trafficpermitinter-interface
same-security-trafficpermitintra-interface
access-listnonatextendedpermitip10.0.4.0255.255.255.0192.168.255.0255.255.255.0
access-listnonatextendedpermitip10.0.4.0255.255.255.010.0.0.0255.255.255.0
access-listnonatextendedpermitip10.0.4.0255.255.255.010.0.5.0255.255.255.0
access-listnonatextendedpermitipany10.0.14.0255.255.255.128
access-listny-vpnextendedpermitip10.0.4.0255.255.255.010.0.0.0255.255.255.0
access-listny-vpnextendedpermitip192.168.255.0255.255.255.010.0.0.0255.255.255.0
access-listacl_outside2extendedpermiticmpanyany
access-listacl_outside2extendedpermitiphost66.117.119.221host216.143.137.27
access-listacl_outside2extendedpermitiphost66.117.119.214host216.143.137.27
access-listOutsideNew_40_cryptomapextendedpermitip10.0.4.0255.255.255.010.0.5.0255.255.255.0
access-listOutsideOld_access_inextendedpermiticmpanyany
access-listSplitTunnel_splitTunnelAclstandardpermitany
access-listacl_outside_fiberextendedpermiticmpanyany
nopager
loggingenable
loggingbuffer-size10000
loggingbufferednotifications
loggingasdminformational
mtuOutsideOld1500
mtuInside1500
mtutest11500
mtuOutsideNew1500
mtuOutsideFiber1500
mtumanagement1500
iplocalpoolvpn192.168.255.1-192.168.255.254
iplocalpoolSplitTunnel10.0.14.50-10.0.14.99
icmpunreachablerate-limit1burst-size1
icmppermitanyOutsideOld
icmppermitanyInside
icmppermitanyOutsideNew
icmppermitanyOutsideFiber
asdmimagedisk0:/asdm-522.bin
noasdmhistoryenable
arptimeout14400
global(OutsideOld)1interface
global(OutsideNew)1interface
global(OutsideFiber)1interface
nat(Inside)0access-listnonat
nat(Inside)110.0.4.0255.255.255.0
static(Inside,OutsideNew)216.143.137.2710.0.4.5netmask255.255.255.255
access-groupOutsideOld_access_inininterfaceOutsideOld
access-groupacl_outside2ininterfaceOutsideNew
access-groupacl_outside_fiberininterfaceOutsideFiber
routeOutsideFiber0.0.0.00.0.0.065.220.55.2091track1
routeOutsideOld0.0.0.00.0.0.063.139.135.161100
routeInside152.179.153.229255.255.255.25510.0.4.110
routeOutsideNew208.110.65.18255.255.255.255216.143.137.251
routeOutsideNew0.0.0.00.0.0.0216.143.137.2550
routeOutsideFiber152.179.153.229255.255.255.25565.220.55.2091
timeoutxlate3:00:00
timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02
timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00
timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00
timeoutuauth0:05:00absolute
group-policySplitTunnelinternal
group-policySplitTunnelattributes
wins-servervalue10.0.4.3
dns-servervalue10.0.4.310.0.4.4
vpn-tunnel-protocolIPSec
split-tunnel-policytunnelspecified
split-tunnel-network-listvalueSplitTunnel_splitTunnelAcl
default-domainvaluevbllc.com
group-policyremotevpninternal
group-policyremotevpnattributes
wins-servervalue10.0.4.310.0.0.2
dns-servervalue10.0.4.310.0.0.2
Три вещи...
Это очень старая версия программного обеспечения Cisco ASA. Если это новые устройства, они должны поставляться с компакт-диском, содержащим более новое программное обеспечение и утилиты графического интерфейса (в частности, КАК и ASDM изображения программного обеспечения).
Поскольку брандмауэры Cisco поддерживают протокол (и проверяют пакеты), вы можете разрешить передачу через них ftp, запустив fixup protocol ftp 21 на обоих межсетевых экранах ASA.
Новичкам в области межсетевого экрана Cisco я рекомендую использовать графический интерфейс ASDM. Конечно, это улучшено новыми версиями программного обеспечения, которые сейчас установлены ...