У меня есть веб-сервер, на котором IIS 7 размещает сайт с поддержкой SSL.
Клиент, с которым я пытаюсь связаться, стоит за корпоративным Forefront TMG. Приложение представляет собой Total Commander - оболочку файлового менеджера, которая имеет возможность подключаться к SSL FTP, установив галочку через SSL / TLS в настройках FTP-соединения.
Когда фильтр доступа к FTP в FF включен, моя попытка подключения не удалась на этапе Negociating TLS FTP-подключения. То же самое происходит, даже если я включу «Разрешить активный FTP» в настройках фильтра.
Но когда я полностью отключаю фильтр доступа к FTP на FF, я могу нормально подключаться.
Как настроить FF TMG для разрешения FTPS?
TMG не поддерживает FTPS (это FTP + SSL, а не SFTP или SSH File Transfer, который обычно работает нормально)
FTPS действительно сложно сделать с фильтром FTP, потому что фильтр FTP NAT отслеживает информацию, которую клиент за NAT отправляет на FTP-сервер, а шифрование делает ее невидимой. И это раздражает инспекторов NAT.
Если Total Commander поддерживает использование HTTP-прокси, вы можете довольно легко обойти это, настроив вместо него использование HTTPS-соединения (с помощью старого взлома CONNECT-to-get-a-plain-TCP-channel).
Чтобы это работало, вам также необходимо настроить TunnelPortRanges, чтобы разрешить порт назначения, как если бы это был SSL. http://technet.microsoft.com/en-us/library/cc302450.aspx
Альтернативная альтернатива!
Если (длинный список здесь)
тогда вы могли бы настроить
И этот набор правил должен быть упорядочен перед любыми другими правилами, разрешающими клиенту полный доступ ко всем протоколам и портам.
Важно, чтобы правило DENY FTP
a) сразу после специального правила FTP, использующего протокол с несвязанным фильтром приложений, и
б) перед любыми другими правилами, которые могут позволить клиенту использовать старый добрый FTP для целевого IP (в противном случае TMG предпочитает определение протокола с фильтром приложения, чего мы здесь не хотим - мы хотим, чтобы TMG рассматривал его как прямое TCP)
я считать это охватывало бы все сценарии FTPS. Тот же принцип, что и этот.