首先要提到的这里的内网是指一般我们网吧内部环境的内网,对局域网内网我没什么好说的,愿花钱的去dns0755好了。一个基本条件:一个公网ip,对网关有操作权限。
ftp服务器端192.168.0.100,我选用win2k+serv-u 4.1.0.0,很普通常用的一个组合网关是最简单的双网卡pc,一接外网一接内网,这里假设外网ip为218.4.218.4,内网ip为192.168.0.1。
提一些概念性的东东:
一次完整的ftp会话,包含有两个连接,一个称之为命令通道,一个称之为数据通道。命令通道用来传递一些"命令"和反馈,包括用户名密码登陆,而且众所周知是明文数据通道用来传递实际数据----列目录、文件传输,一旦需要列目录或文件传输,数据通道就会被建立起来,这里分两种方式,一是port二是pasv。
你会在因特网上找到许多ftp服务器,有的要么只支持port,有的要么只支持pasv,有的是因为考虑安全因素,有的是因为条件限制等等。我想把我的ftp做成port和pasv方式都能支持的,这样不会使客户端在连接上受到困扰,特别是一些新手,对于port和pasv的定义,比较容易理解的解释是针对ftp服务端而言的:
port是主动模式,在建立数据通道时,服务端去连接别人;
pasv是被动模式,在建立数据通道时,服务端被别人连接;
建立数据通道时,用port模式还是pasv模式,选择权在于ftp客户端。
现在要做的,就是端口映射了,最基本的是命令通道的映射,这里选用默认的21,我想把在网关外网接口收到的对218.4.218.4端口21的连接请求,转发到192.168.0.100的21端口去。
win2k网关
系统自带简单的端口转发程序,就是能给我们提供连接共享的ics/rras,这两种方式原理是一样的,而且都能提供这类业务的端口转发设置过程比较简单,我也不抓图了,以前有过很多。
就是在"服务与端口"中,注册一条类似"公用网络与端口218.4.218.4:21 to 专用网络与端口192.168.0.100:21"这样格式的规则设置好后,别人就能访问你的内网ftp服务器了,但你很快会发现你的ftp服务器只支持port方式,如果客户端也在内网环境则port方式也用不了了这是为什么呢?我们来分析一下,因为在pasv方式,服务器接到客户端的pasv命令后,会指定一个本地的随机端口来作为pasv端口,并通知客户端,然后等待客户端的连接,在通知消息里包含有ftp服务器的ip地址和打开的pasv端口,我ftp服务器的ip地址是什么?
现在是192.168.0.100,那么对方收到的pasv通知将是这样格式的227 entering passive mode (192,168,0,100,m,n)mn是定义了pasv端口的值,计算方式是m*256+m,如果这里m是10而n是20,那么pasv端口就是2580客户端收到这条通知后,当它想发起数据通道的连接,它会向192.168.0.100:2580这个目标地址发送syn请求,毫无疑问将不会收到应答,因为这个ip在公共网络事实上是不存在的解决的办法是让ftp服务器发送带公网ip的pasv通知,我们的serv-u支持这个功能。
然后在网关上把需要打开的pasv端口跟21端口一样做映射到192.168.0.100
你也许会疑惑了,pasv是服务器动态打开的随机端口,我怎么会知道它会用哪个?怎么映射啊?没有问题,serv-u同样可以定义每次使用固定的pasv端口,当然为了同时承接多个连接会话,你需要多设置几个成一段,然后在网关上一一对应映射到ftp服务器上去,图中设置了20个。
