Я настроил службу / роль FTP на своем компьютере с Windows Server 2008 R2. Я могу подключиться изнутри, но не извне. Внутри я тестировал с помощью командной строки и IE FTP. Снаружи я тестирую FileZilla и IE FTP. Со стороны IE FTP предлагает мне ввести мое имя пользователя / pwd, но ничего не происходит. Время ожидания страницы истекает, и я получаю сообщение «Internet Explorer не может отобразить страницу». Используя FileZilla, я получаю следующие сообщения. Примечание. FileZilla разрешает доменное имя и выполняет аутентификацию. Я не настраивал поддержку FTP Wirewall на FTP-сайте. Я не уверен, нужно ли мне это делать. Я установил базовую аутентификацию, без ssl, не разрешая анонимность. Я тестировал с выключенным и включенным брандмауэром Windows (я добавил правило брандмауэра Windows для порта 21). В моем сетевом брандмауэре (Cisco) я добавил правило для пересылки трафика порта 21 на FTP-сервер.
Статус: разрешающий адрес ftp.technologyblends.com
Статус: подключение к 75.149.66.201:21 ...
Статус: соединение установлено, ожидается приветственное сообщение ...
Ответ: 220 Служба Microsoft FTP
Команда: ПОЛЬЗОВАТЕЛЬ *
Ответ: 331 Требуется пароль для *.
Команда: ПРОЙДИТ ********
Ответ: 230 Пользователь вошел в систему.
Команда: SYST
Ответ: 215 Windows_NT
Команда: FEAT
Ответ: 211-Расширенные функции поддерживаются:
Ответ: LANG EN *
Ответ: UTF8
Ответ: AUTH TLS; TLS-C; SSL; TLS-P;
Ответ: PBSZ
Ответ: PROT C; P;
Ответ: CCC
Ответ: HOST
Ответ: РАЗМЕР
Ответ: MDTM
Ответ: REST STREAM
Ответ: 211 END
Команда: OPTS UTF8 ON
Ответ: 200 OPTS Команда UTF8 выполнена успешно - кодировка UTF8 включена.
Статус: Подключено
Статус: получение списка каталогов ...
Команда: PWD
Ответ: 257 "/" - текущий каталог.
Команда: ТИП I
Ответ: 200 Тип установлен на I.
Команда: PASV
Ошибка: истекло время ожидания подключения
Ошибка: не удалось получить список каталогов
Попробуйте установить соединение в АКТИВНЫЙ РЕЖИМ вместо PASV
Насколько я понимаю, у вас включен NAT и у сервера есть частный адрес. Наиболее вероятная причина - вы не пропускаете эфемерные порты. Я думаю, что если бы вы просто сделали DMZ и пропустили все, все заработало бы. Но это небезопасно. Лучший способ - найти способ ограничить диапазон используемых пассивных портов и перенаправить этот диапазон на ваш сервер. Вот несколько инструкций: https://manage.accuwebhosting.com/knowledgebase/2334/How-to-Configure-Passive-Port-Range-for-the-FTP-Service-in-IIS.html . Затем перенаправьте тот же диапазон на маршрутизаторе NAT на внутренний IP-адрес вашего сервера. В связанном руководстве показано 6001-6001, но я рекомендую вам сделать что-то вроде 60000-61000. Причина в том, что «меньшие» числа в тысячах часто используются другим трафиком, тогда как более высокие числа обычно остаются тихими.
При этом прокладка FTP в NAT должна автоматически создавать сопоставление портов как СВЯЗАННОЕ соединение. Проверьте, не заблокированы ли они в брандмауэре и загружена ли прокладка FTP. В Linux это можно было бы назвать ip_conntrack, nf_conntrack, nf_conntrack_ftp или nf_conntrack_proto_ftp в зависимости от версии. Он может быть даже скомпилирован монолитно, и в этом случае вы не увидите его среди модулей, но он все равно будет работать.