一.概述:
聽了yeslab的秦珂老師的ASA視訊,說PAT時,FTP伺服器在Outside,FTP用戶端在Inside,這種情況主動FTP能正常工作是因為:ftp審查可以使得穿越PAT時FTP能正常工作(修改了FTP應用層的資料),并且使得FTP主動模式下從Outside主動向Inside發起的包能夠順利通過防火牆。因為在路由器上配置PAT,FTP也能正常工作,是以打算測試一下,到底是FTP審查使得PAT能正常工作,還是ASA自身的PAT就能使得PAT能正常工作。
二.測試思路及結論:
A.關閉ASA的FTP審查,确認FTP被動模式是否能正常工作
----能正常工作,FTP被動模式都由Inside的FTP用戶端主動發起,防火牆不需要放行政策的FTP審查就能正常工作
B.關閉ASA的FTP審查,Inside路由器作為FTP用戶端設定為主動模式,确認FTP主動模式是否能正常工作
----不能正常工作,通過抓包可以發現,Outside接口FTP伺服器收到的FTP用戶端的發送的FTP應用層的資料中IP沒有被更改,FTP伺服器主動去連接配接PAT之前的位址,導緻連接配接無法建立
----進一步确認了老師講課所說的是正确的
三.測試拓撲:
<a href="http://blog.51cto.com/attachment/201310/192528766.jpg" target="_blank"></a>
四.基本配置:
A.FTP伺服器
ip:202.100.1.1/24
開啟3CDamon,并配置FTP伺服器
B.ASA842防火牆:
①接口配置
interface GigabitEthernet0
nameif Outside
security-level 0
ip address 202.100.1.10 255.255.255.0
no shut
interface GigabitEthernet1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0
no shut、
②全局policy map修改:
----關閉FTP審查,并且啟用icmp審查
policy-map global_policy
class inspection_default
no inspect ftp
inspect icmp
③PAT配置:
object network Inside_net
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface
C.Inside路由器:
①接口配置:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
②預設路由配置:
ip route 0.0.0.0 0.0.0.0 10.1.1.10
③FTP使用者名和密碼配置:
ip ftp username xll
ip ftp password 1234qwer,
五.測試步驟:
A.關閉FTP審查後,被動FTP能正常工作
①被動FTP能正常傳檔案
Inside#copy ftp: flash:
Address or name of remote host [202.100.1.1]?
Source filename [202.100.1.1]? xx.txt
Destination filename [xx.txt]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing ftp://202.100.1.1/xx.txt...
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
Erase of flash: complete
Loading xx.txt
[OK - 24/4096 bytes]
Verifying checksum... OK (0x8A8A)
24 bytes copied in 6.820 secs (4 bytes/sec)
Inside#
②Inside路由器接口抓包:
<a href="http://blog.51cto.com/attachment/201310/191757853.jpg" target="_blank"></a>
③Outside接口FTP伺服器上面抓包:
<a href="http://blog.51cto.com/attachment/201310/191818797.jpg" target="_blank"></a>
B.關閉FTP審查後,主動FTP不能正常工作:
①Inside路由器設定FTP用戶端為主動模式:
(config)#no ip ftp passive
②主動FTP無法正常工作:
③Inside路由器接口抓包:
<a href="http://blog.51cto.com/attachment/201310/191841250.jpg" target="_blank"></a>
④Outside的FTP伺服器抓包:
<a href="http://blog.51cto.com/attachment/201310/191857237.jpg" target="_blank"></a>
---從抓包中,确實可以看到,如果不開啟FTP審查的話,ASA不會修改FTP應用層的IP位址,因為FTP伺服器收到FTP用戶端告訴給它的位址為内網PAT前的位址,導緻FTP伺服器無法連接配接。
C.開啟FTP審查後,被動FTP能正常工作:
①ASA防火牆開啟FTP審查:
inspect ftp
②被動FTP能正常工作:
Address or name of remote host []? 202.100.1.1
Source filename []? xx.txt
24 bytes copied in 1.788 secs (13 bytes/sec)
<a href="http://blog.51cto.com/attachment/201310/191920267.jpg" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201310/191941908.jpg" target="_blank"></a>
----從抓包接口來看,确實因為開啟FTP審查,ASA修改了FTP應用層的資料,将IP位址和端口進行了修改。
本文轉自 碧雲天 51CTO部落格,原文連結:http://blog.51cto.com/333234/1304633,如需轉載請自行聯系原作者
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)