У нас есть сервер в нашей DMZ под управлением Windows Server 2016, с IIS возникают некоторые проблемы с использованием FTP в пассивном режиме из нашей внутренней сети. Мы хотим иметь возможность использовать это как из нашей внутренней сети, так и вне нашей сети.
На уровне корневого сервера я настраиваю диапазон портов канала данных 50000-50100.
Затем на уровне FTP-сайта я настроил «Поддержка FTP-брандмауэра» и ввел внешний адрес, который наш сетевой администратор настроил в брандмауэре для поля «Внешний IP-адрес брандмауэра».
Я также настроил другие параметры, такие как
Если я подключаюсь из-за пределов нашей сети, все работает отлично, однако, если я подключаюсь изнутри нашей сети с помощью FileZilla в пассивном режиме, он подключается к серверу, устанавливает TLS, но не может получить список каталогов. Я вижу, что, когда он входит в пассивный режим, он сообщает внешний IP-адрес, а не тот, который находится в нашем внутреннем DNS. Очевидно, это связано с настройкой поддержки брандмауэра FTP, предназначенной для внешней работы.
Если я удалю настройку, указывающую наш «Внешний IP-адрес брандмауэра», он будет работать внутренне, но больше не будет работать извне.
Есть ли способ настроить это для работы в пассивном режиме как для внутренней, так и для внешней сети?
Да, но это проблема конфигурации брандмауэра. Вам необходимо установить "Внешний IP-адрес брандмауэра" в IIS на сервер внутренний Айпи адрес. Затем брандмауэр необходимо настроить для 1: 1 NAT с внешнего IP-адреса на внутренний IP-адрес. Вероятно, будут другие проблемы с настройкой брандмауэра, например pfSense требует, чтобы был установлен пакет FTP-прокси для обработки портов PASV, но эти требования будут специфичными для используемого межсетевого экрана. У большинства межсетевых экранов коммерческого уровня должен быть какой-либо метод настройки этой настройки.