Я хотел бы настроить службу FTP на нестандартном порту (т.е. не на 21), используя службу FTP в IIS 6 на сервере Windows 2008.
Настроил и протестировал локально - все работает.
Однако у меня возникают проблемы при удаленном доступе к нему. Я могу подключиться по Telnet к новому порту и увидеть ответ FTP, но не могу создать настоящее FTP-соединение.
Поэтому я думаю, что порт брандмауэра для подключения моего удаленного ПК к серверу открыт, но ответ сервера на мой ПК происходит через случайный порт.
Чтобы ограничить количество обратных (исходящих) портов, используемых в службе FTP IIS 6, я выполнил шаги, описанные здесь: Событие с кодом 16 - конфигурация службы FTP IIS (хотя adsutil.vbs не было на сервере, поэтому я загрузил его из другого источника и использовал его).
Затем я использовал команду cscript.exe adsutil.vbs set / MSFTPSVC / PassivePortRange "6000-7000" который работал нормально. В то
Затем я побежал чистая остановка msftpsvc, чистый старт msftpsvc и sc запрос msftpsvc.
Все работает нормально, но когда я тестирую с помощью Wireshark, я вижу, что порты 6000-7000 не используются.
Есть идеи, что может быть не так?
Видеть MS KB статья 555022
В этой статье описаны порты, используемые FTP. Соединение выполняется через порт управления, но передача данных происходит через другой порт. Попробуйте настроить ограниченный набор портов передачи данных в IIS и настройте брандмауэр, чтобы разрешить эти порты для IP-адреса FTP-сервера.
Я нашел здесь полную информацию: http://scottonwriting.net/sowblog/posts/13857.aspx
Я использую сетевые снифферы для устранения подобных проблем. Брандмауэр является вероятным виновником, поэтому анализ сетевого трафика снаружи и внутри брандмауэра может выявить, что конкретно не так с FTP-соединением.
Одна вещь, которую следует проверить в политике брандмауэра, - это то, что нестандартный порт действительно настроен для обработки трафика FTP. Похоже, что политика была настроена на включение TCP-соединения с нестандартным портом. Была ли настроена политика специально для FTP-трафика?
Если вы используете брандмауэр очень низкого уровня, который может выполнять только NAT и базовую проверку пакетов (т. Е. Не брандмауэр, поддерживающий состояние TCP), то вам необходимо настроить FTP-сервер так, чтобы он разрешал только пассивный режим, настройте FTP-сервер на разрешить соединения DATA только на небольшом диапазоне портов (10 или 20?), а затем настроить брандмауэр, чтобы разрешить входящие соединения с FTP-сервером для этих 10-20 портов.