要做FTP服务器防火墙上修改.doc

要做FTP服务器防火墙上除了NAT server, 地址转换,detect ftp,nat alg ftp en 还要做什么啊20标签：ftp server,防火墙,server 就这个简单的结构,FTP还是上不去. 问题补充2009-11-25 10:54防火墙区域全开的。.s 回答:2 人气:2 解决时间:2009-11-25 15:58 满意答案好评率：0% 几个要点：1、前提：防火墙配置为路由模式，接口都已经加入对应的域，IP地址设置正确，untrust到DMZ域间21端口在inbound方向已经放通2、设置nat server：nat server global x.x.x.x inside x.x.x.x3、设置nat alg：nat alg enable ftp4、进入域间视图设置ASPF功能：detect ftp5、用display nat server看一下服务器是否建好请仔细检查配置，上面的步骤如果都没有错的话，那么就display nat session看看有没有nat转换的session，如果没，那应该是数据报文没有到防火墙上来，就debugging nat package看看吧提问人的追问 2009-11-25 12:11 debugging nat package 后在哪看?回答人的补充 2009-11-25 12:24 quit到用户视图，t m，t d就能看到nat报文了s的感言： 倒.还是FTP不了. 其他答案放行tcp 21 20端口涛声依旧 回答采纳率:22.6% 2009-11-25 10:50 如图3-1 所示，一个公司不同用途的网络属于Eudemon 防火墙不同安全级别的安全区域。对应关系为： 员工工作网络处于 Trust 安全区域，所在的网段为/16。 WWW Server 和FTP Server 处于DMZ 安全区域，所在的网段为/24，能够为内部员工和外部用户访问。 外部网络处于 Untrust 安全区域。需求如下： 需求 1：要求该公司Trust 安全区域的/24 网段用户可以访问Internet，该安全区域其它网段的用户不能访问。提供的访问外部网络的合法IP 地址范围为。由于公有地址不多，需要使用NAPT（Network AddressPort Translation）功能进行地址复用。 需求 2：提供两个内部服务器供外部网络用户访问。WWW Server 的内部IP 地址为/24，端口为8080，FTP Server 的内部IP 地址为/24。两者对外公布的地址均为，对外使用的端口号均为缺省值。3 配置NAT组网图图3-1 NAT 配置案例组网图配置步骤步骤 1 防火墙基本配置。# 进入系统视图。 system-view# 进入Ethernet 0/0/0 视图。Eudemon interface Ethernet 0/0/0# 配置Ethernet 0/0/0 的IP 地址。Eudemon-Ethernet0/0/0 ip address 16# 退回系统视图。Eudemon-Ethernet0/0/0 quit# 进入Ethernet 0/0/1 视图。Eudemon interface Ethernet 0/0/1# 配置Ethernet 0/0/1 的IP 地址。Eudemon-Ethernet0/0/1 ip address 16# 退回系统视图。Eudemon-Ethernet0/0/1 quit# 进入Ethernet 2/0/0 视图。Eudemon interface Ethernet 2/0/0# 配置Ethernet 2/0/0 的IP 地址。Quidway Eudemon 100/100E/200/200S配置指南安全防范分册 3 配置NAT文档版本 03 (2008-01-25) 华为技术有限公司3-11Eudemon-Ethernet2/0/0 ip address 24# 退回系统视图。Eudemon-Ethernet2/0/0 quit# 进入Trust 区域视图。Eudemon firewall zone trust# 配置Ethernet 0/0/0 加入Trust 区域。Eudemon-zone-trust add interface Ethernet 0/0/0# 退回系统视图。Eudemon-zone-trust quit# 进入Untrust 区域视图。Eudemon firewall zone untrust# 配置Ethernet 0/0/1 加入Untrust 区域。Eudemon-zone-untrust add interface Ethernet 0/0/1# 退回系统视图。Eudemon-zone-untrust quit# 进入DMZ 区域视图。Eudemon firewall zone dmz# 配置Ethernet 2/0/0 加入DMZ 区域。Eudemon-zone-dmz add interface Ethernet 2/0/0 需要配置域间缺省包过滤规则或域间包过滤规则。由于配置缺省允许报文通过防火墙安全域间会存在安全隐患，不建议配置。域间包过滤规则的配置请参见需求1 配置步骤。 需要在 Trust 安全区域内的PC 上配置缺省路由。# 退回系统视图。Eudemon-zone-dmz quit步骤 2 需求1 配置步骤。# 配置访问控制列表。Eudemon acl 2001Eudemon-acl-basic-2001 rule 0 permit source 55Eudemon-acl-basic-2001 rule 1 deny source 553 配置NATQuidway Eudemon 100/100E/200/200S配置指南安全防范分册3-12 华为技术有限公司文档版本 03 (2008-01-25)# 退回系统视图。Eudemon-acl-basic-2001 quit# 配置地址池。Eudemon nat address-group 1 # 进入Trust 和Untrust 域间视图。Eudemon firewall interzone trust untrust# 配置域间包过滤规则。Eudemon-interzone-trust-untrust packet-filter 2001 outbound# 退回系统视图。Eudemon-interzone-trust-untrust quit# 进入Trust 和Untrust 域间视图。Eudemon firewall interzone trust untrust# 将访问控制列表和地址池关联。由于需要进行地址复用，即不使用no-pat 参数。Eudemon-interzone-trust-untrust nat outbound 2001 address-group 1当使用no-pat 参数时，防火墙只能对内部用户的IP 地址进行转换。当NAT 地址池中的IP 地址全部分配给用户后，在现有用户释放地址前，防火墙将不再为其他用户提供地址，即其他用户无法通信。建议配置地址池时，不使用no-pat 参数。# 退回系统视图。Eudemon-interzone-trust-untrust quit步骤 3 需求2 配置步骤。# 配置ACL 规则。Eudemon acl 3000Eudemon-acl-adv-3000 rule 0 permit tcp destination 0 destination-porteq ftpEudemon-acl-adv-3000 rule 1 permit tcp destination 0 destination-porteq 8080# 退回系统视图。Eudemon-acl-adv-3000 quit# 使能NAT ALG。Eudemon nat alg enable ftp# 进入DMZ 和Untrust 域间视图。Eudemon firewall interzone dmz untrust# 配置域间包过滤规则。Eudemon-interzone-dmz-untrust packet-filter 3000 inboundQuidway Eudemon 100/100E/200/200S配置指南安全防范分册 3 配置NAT文档版本 03 (2008-01-25) 华为技术有限公司3-13# 使能FTP 的Detect 功能。Eudemon-interzone-dmz-untrust detect ftp当防火墙内部服务器为FTP 服务器时，需要在相应服务的域间使能应用级网关功能，否则防火墙不将该会话识别为相应会话。# 退回系统视图。Eudemon-interzone-dm