内网做了个FTP服务器和web服务器(同一VLAN),用一个公网IP分别NAT 21\80端口,没有配置ACL,一切正常。。
因为我想,内网和外网都只能访问FTP服务器的21端口,web服务器的80端口,其他全部拒绝
ACL应用在VLAN的out方向
结果是:web服务器可以正常访问,外网访问FTP服务器,可以进入登录界面,用账号登录提示没有权限。。取消ACL就可以登录进去
1、你可能FTP没设置好,没给权限,要给读、取、写入的权限
2、你还要开21、20及被动模式的端口, 被动模式的端口你可以自己设置给啥端口都可以,在FTP服务器需设置,然后再配置ACL或IPTABLES,开这几个需要的端口。
我忘了CISCO这个eq FTP是不是两个口都启用了。
不过看你这情况应该是把其中一个口开了,另一个口给关了才导致这样的情况。
还是老老实实写端口号吧
https://supportforums.cisco.com/docs/DOC-2128追问
不行,还是一样
FTP有两种使用模式:主动和被动。主动模式要求客户端和服务器端同时打开并且监听一个端口以创建连接。在这种情况下,客户端由于安装了防火墙会产生一些问题。所以,创立了被动模式。被动模式只要求服务器端产生一个监听相应端口的进程,这样就可以绕过客户端安装了防火墙的问题。
一个主动模式的FTP连接创建要遵循以下步骤:
客户端打开一个随机的端口(端口号大于1024,在这里,我们称它为x),同时一个FTP进程连接至服务器的21号命令端口。此时,该tcp连接的来源地端口为客户端指定的随机端口x,目的地端口(远程端口)为服务器上的21号端口。
客户端开始监听端口(x+1),同时向服务器发送一个端口命令(通过服务器的21号命令端口),此命令告诉服务器客户端正在监听的端口号并且已准备好从此端口接收数据。这个端口就是我们所知的数据端口。
服务器打开20号源端口并且创建和客户端数据端口的连接。此时,来源地的端口为20,远程数据(目的地)端口为(x+1)。
客户端通过本地的数据端口创建一个和服务器20号端口的连接,然后向服务器发送一个应答,告诉服务器它已经创建好了一个连接。
20端口的通信应该是服务器主动连接CLIENT的request,你的ACL应用在OUT方向上,应该不会MATCH这种通信,但是TCP SYN阶段 CLIENT对这条服务器通信的RESPONSE应该包括在你的ACL里
所以
20应该改成
20 permit tcp any host 192.168.2.1 eq 20
否则这条TCP连接的SYN是成立不了的
很久没碰CISCO的设备了,表示很生疏了。
20 permit tcp any host 192.168.2.1 eq ftp-date
30 permit tcp any host 192.168.2.1 eq www
内网做了个FTP服务器和web服务器(同一VLAN),用一个公网IP分别NAT...
1、你可能FTP没设置好,没给权限,要给读、取、写入的权限 2、你还要开21、20及被动模式的端口, 被动模式的端口你可以自己设置给啥端口都可以,在FTP服务器需设置,然后再配置ACL或IPTABLES,开这几个需要的端口。
内网灰鸽子的问题
Port In填的端口号是80,这样填的前提是网关(代理服务器)上没有WEB服务器在运行,否则请更换其它端口,例如“8080”(在这种情况下,用户必须通过http:\/\/名:8080来访问你的网站。)3. 针对我需要的FTP服务进行配置,点击“Add”按钮,然后配置如下:注意:Port In填的端口号是21,这样填的前提是网...
内网有多个vlan怎样配置通过一个公网ip上网
3.“如果reset防火墙、路由器重新设置,如何将一个公网IP分配给这台服务器,其他的电脑通过另一个IP上网?”。华为路由器的WAN端口支持多于一个IP地址外的地址作为备用IP地址,服务器仍使用内网IP地址,在路由器内将新公网IP和服务器内网IP地址作个映射。4.“如果不申请新的IP,直接NAT到那台服务器也...
在内网里电脑怎么和服务器连接
1.在一个单位内部,只是电脑和服务器IP地址不在一个子网或在不同VLAN,需要配置一台路由器或三层交换机,配置好路由就可以做到可达;2.服务器需要通过Internet公网才可以访问到,电脑是本地私网IP地址,需要在局域网出口配置一台路由器或者防火墙,上面配置网络地址转换(NAT),或者端口地址转换(PAT),...
端口映射怎么设置
实例应用 一台水星MW350R无线路由器连接到互联网,内网中有一台FTP服务器(端口21),IP地址是192.168.1.100;还有一台WEB服务器(端口80),IP地址是192.168.1.101。默认情况下互联网上的计算机是无法访问到我的内网中的FTP服务器和WEB服务器的,为了让互联网上的计算机能够访问到我内网中的计算机...
我现在有一个内网的ip,是10.128.115.33\/28..我现在想用这个网线接路由器...
确保你的这个内网ip能上网,如果你的内部网络管理人员没有绑定ip和mac,没有限制ip使用数量,那么你把这条网线接到路由后,设置路由wan配置为静态并写入10.128.115.33,开启dhcp,路由lan出来一条线接交换机,交换机再接其他四台机器就可以了。
如何在内网建立FTP服务器
1、通过电脑直接找到ftpserver.exe并双击运行。2、新建一个可以登录FTP服务器的帐户。3、需要为刚才建立的帐户添加一个密码。4、如果没问题就设置共享的目录在哪里。5、根据自己的实际情况来继续设置权限。6、在成功创建一个新帐户以后选择完成。7、等弹出图示页面即可在内网建立FTP服务器。
同一个局域网中的各个子网的互联以及局域网中VLAN间的路由,用三层交换...
路由器一般由基于微处理器的软件路由引擎执行数据包交换,而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后,它将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高...
教你解决重复路由引发的问题
公网IP段(与NAT服务器上的静态路由重复)!interface ve 20 ip address 192.168.0.253 255.255.255.252 内网与NAT设备互联IP !(2)NAT服务器设置的静态路由如下:在连接内网的网卡上设置:ip route 192.168.0.0 255.255.254.0 192.168.0.253。在连接外网的网卡上设置:ip route ...
请问如果建立TFTP服务器?
有了它,你的个人电脑就可以模拟为一个FTP服务器,也就是说,你所连接的网络中的计算机用户可以访问你的个人电脑,通过FTP协议(文件传输协议)复制、移动、删除你的电脑中的文件或文件夹,可以做一切权限所允许的事情。FTP协议规定了计算机之间的标准通讯方式,使所有不同类型,不同操作系统,不同格式的电脑之间得以互换文件...
