Я пытаюсь настроить Cisco ASA 5505 на открытие пассивного порта от имени моего FTP-сервера. Кто-нибудь пробовал это при запуске зашифрованного FTP-соединения (TLS / SSL)?
Журнал FTP-клиента сообщает, что все работает, пока клиент не выдаст PASV (и не получит обратно правильную команду), а затем выдаст команду «LIST».
Полагаю, это означает, что ASA не имеет возможности проверить зашифрованный трафик?
Было бы очень полезно пролить свет на этот вопрос!
Настройка FTPS (неявной или явной) для работы за брандмауэром NAT может быть головной болью.
Вы правы в том, что ASA не может проверять зашифрованный трафик SSL / TLS. Поломка происходит при построении канала данных. В активном или пассивном режиме информация L3 (IP) и L4 (порт), относящаяся к каналу данных, передается по каналу управления FTP / FTPS. При традиционном FTP и проверке FTP ASA эти данные «проверяются» и «фиксируются» для соответствия общедоступному / внешнему / любому IP-адресу интерфейса, и ASA динамически добавляет разрешающий ACL, чтобы разрешить трафик канала данных.
С SSL / TLS (как часть FTPS) ASA не может видеть необходимые детали канала управления, чтобы «проверить» или «исправить» то, что необходимо для работы канала данных. Таким образом, вам нужно будет иметь некоторые дополнительные интеллектуальные возможности / возможности, встроенные в приложение сервера FTPS, которое вы используете.
Возможности включают следующее:
Наконец, в вашем брандмауэре разрешая (через nat / static и ACL) диапазон, настроенный под номером 1.
В среде Windows Cerberus - отличный FTP / FTPS / SFTP-сервер, который имеет необходимые функции и возможности.
Например:
Допустим, у вашего FTPS-сервера внутренний IP-адрес 192.168.1.10, а внешний IP-адрес 1.1.1.2.
Теперь, когда клиенты подключаются из глобальной сети, используя неявный или явный протокол FTPS, сервер FTPS отправляет обратно правильный IP-адрес глобальной сети (не свой частный адрес) и порт TCP в известном диапазоне, который будет использоваться в канале данных. Если специально NAT и ACL разрешили TCP-порты, проверка / исправление ASA не требуется.
Интересно (пространная ссылка на FTP / FTPS / SFTP через межсетевые экраны): FTP через брандмауэры