分享器與Ftp伺服器對應問題

**ysc_kyy** · 2007-11-08, 08:44 PM

幾個月前換了無線IP分享器MN-ZWL-54VR ，一開始使用就已經有掛上web server(監視錄影機)，從遠端連線監視很順利，也能從遠端登入分享器管理頁面所以認為NAT虛擬主機對應應該是OK的。

可是這幾天試著組一台FreeNAS，IP固定設為192.168.1.5，也在分享器裡虛擬主機設定頁面將FTP(PORT 21)指向192.168.1.5，在區網之下用FileZilla以192.168.1.5可以順利連線成功，可見FreeNAS系統沒問題，可是從遠端以ADSL所配發的固一IP連線卻連不上，是第一階段就找不到伺服器了，同一時間PORT 80的DVR遠端連線還是沒問題！更詭異的是以VPN撥入讓遠端形成一個區網，再以192.168.1.5連線FTP又是沒問題！也曾經將所有虛擬主機設定清除，乾脆將DMZ設給FTP SERVER，結果情況依舊遠端還是沒反應.........
FTP連線軟體FileZilla連線模式passive或active都試過還是一樣連不上。

反覆設定了好久情況還是無解，請教大家在分享器之下架FTP伺服器還有哪些沒考慮到的？，謝謝。

**workduck** · 2007-11-08, 10:19 PM

乾脆將DMZ設給FTP SERVER，結果情況依舊遠端還是沒反應.........

做到這一步，還是連不上就真的很神奇了。
防火牆嗎？

**linux_xp** · 2007-11-08, 11:40 PM

FTP 運作的時候，不只一個 port 喔：
http://linux.vbird.org/linux_server/...hp#theory_port

如果只是 NAT 的 port轉換，那只要開 TCP 20,21 給 FTP server 即可

但防火牆的話，就難設了，因為 port 沒有固定
FTP server 出去要開放 TCP 20,21
外部 to FTP server，則要開放 1024 以上，幾乎是全開

這邊有一個重點：「埠轉換」不等於「防火牆」

如果用 iptables 的觀念來解釋
它們分別隸屬於 nat 鏈和 filter 鏈，是不同的管轄範圍

在 Linux 的作法，是用 sell script 去動態追蹤
如果 TCP 20,21 的三向交握成立（用 tcp 旗標驗證），才會讓這個連線通過
不管它是多少 prot，反正它只能和 ftpd service 溝通

但一般現成的網路設備，應該是沒辦法寫 shell script
除非是那台機器，原先就有針對 FTP 做設計，選項就有 FTP
否則只有 1024 以上全部開放一途，當然的，這會造成很大的安全漏洞

如果不是傳輸大量檔案
web-HD （走 http 協定）之類的應用
會比較方便使用，防火牆也比較好設

**ysc_kyy** · 2007-11-09, 12:27 AM

謝謝兩位的指點，
防火牆因素有考慮過，目前防火牆裡規則是空白的，防止dos攻擊也全部關閉試過，就是將DMZ設給FTP Server還是連不起來才覺得怪異啊！

同一時間port 80的web server遠端連線都一直很正常，以VPN連線進去以區網方式連線ftp也很順利，這表示遠端網路環境是正常的。

越來越懷疑是這個分享器的問題，或許該找個不同廠牌的試試看..........

**danking** · 2007-11-09, 01:14 AM

我之前有遇過類似的問題.
Win2K 開放 FTP 提供給遠端人員連進來使用.
FTP Server 在防火牆裡面, 透過 NAT 對應一個合法 IP 出去.
Policy 中只開放FTP(21) Port, 內部怎麼連都可以使用, 遠端卻連不進來.
遠端一連進來, handshaking 到一半就停了, 直到出現 timeout 訊息.

搞到最後才確定是 passive mode 的問題
只好把 FTP Server 的 passive port 限定在 60000~65000
並且同時在防火牆 Police 開放 60000~65000 (TCP) Port 可以連到 FTP Server
改完設定之後, 遠端就可以正常連到 FTP Server 上了.

**ysc_kyy** · 2007-11-09, 01:50 AM

作者：danking

我之前有遇過類似的問題.
Win2K 開放 FTP 提供給遠端人員連進來使用.
FTP Server 在防火牆裡面, 透過 NAT 對應一個合法 IP 出去.
Policy 中只開放FTP(21) Port, 內部怎麼連都可以使用, 遠端卻連不進來.
遠端一連進來, handshaking 到一半就停了, 直到出現 timeout 訊息.

搞到最後才確定是 passive mode 的問題
只好把 FTP Server 的 passive port 限定在 60000~65000
並且同時在防火牆 Police 開放 60000~65000 (TCP) Port 可以連到 FTP Server
改完設定之後, 遠端就可以正常連到 FTP Server 上了.

謝謝提供經驗，
我的情況是在連線第一階段「正在連線到xxx.xxx.xxx.xxx.........」就完全沒回應了連handshaking 都沒有，passive/active兩種模式也都試過了.........

**blueno** · 2007-11-09, 04:39 AM

稍微去找了一下這台資料，不過官方的web似乎掛掉了(清晨)，還好ftp是正常的，稍微翻了一下說明書。

ftp://ftp.mici.com.tw/Public/downloa...s/MN-ZWL-54VR/ 說明書這裏下載...

so....分享器本身有預設虛擬伺服器…還有固定虛擬IP功能,所以我建議設定全部都是靠分享器來作分配..內部的機器都是dhcp..

固定虛擬IP自動配發請參閱說明書PDF檔案 MN-ZWL-54VR_Manual.pdf 57 page.

FreeNAS 雖然已經設定為指定的IP其實也可以採DHCP的方式。

因為分享器本身可以固定指定的MAC配發指定的IP，方法在…

基本設定 → 區域網路/DHCP設定 → 靜態IP綁定管理 → 新增mac位置&從網路中選擇IP位置或新增MAC位置 & 手動輸入IP位置。

基本上由分享器去指定IP會比較好管理，NAT轉發也比較正常(純經驗論)。

虛擬伺服器請參閱說明書PDF檔案 MN-ZWL-54VR_Manual.pdf 75 page.

NAT →　虛擬伺服器

只要將FTP協定的小方塊打勾填入相對應的IP 5 打勾後就可以用了，通常分享器都不支援PASV所以在外部連入的時候PASV要關掉。

確定、儲存、更新，然後用管理介面的重開機功能重新啟動分享器，外部應該就會正常了。

還是不行還有另外一招。

連線埠轉送請參閱說明書PDF檔案 MN-ZWL-54VR_Manual.pdf 77 page.

NAT →　連線埠轉送

規則名稱你喜歡就好..XD
協定 TCP
外部連線埠範圍 1024 - 65535
內部PC IP 位置你設定的IP ...XD
內部連線埠範圍 20 - 21
新增、儲存、更新，然後用管理介面的重開機功能重新啟動分享器，標準已經開了所以外部連入可以不必特別設定就可以正常連入了。

連線埠轉送，可以使用PASV一般來說不用特別設定ftp軟體就可以正常連入。

官方的FTP資料夾中，有韌體可以下載，可以順便更新，在試試看吧！

備註：還有虛擬伺服器與連線埠轉發設定相同的port 一定要選擇其中一個開啟，不然會衝突，也就是說　你開啟了虛擬伺服器的 ftp (tcp port 21) 就不能設定連線埠轉發的 tcp port 20 -21 ，會有衝突，只能選擇一種開啟模式。

備註1：通常不支援PASV連入就是指只能使用PORT的方式。

**linux_xp** · 2007-11-09, 07:21 AM

DMZ 不能通，是因為 DMZ 下是沒有 NAT 的

DMZ 是一種「完全透通模式」，等於忽略閘道防火牆的存在
簡單的說，設成 DMZ 以後，伺服器可以看作是直接掛在 Internet 上面的
閘道防火牆變成只是強波器...
不會做任何過濾，也不會做任何轉換，完全透通

而這個時候，如果 FTP 的 IP 仍是：192.168.1.5
自然外面是無法連線的

如果 DMZ 下要能通，需給它 Public IP （真實IP)
固定單一 IP 就沒辦法了
PPPoE 多浮動，或 DHCP 多浮動，可以嘗試取得真實 IP
因為 DMZ 是完全透通，所以 PPPoE/DHCP 可以作用

先不管防火牆問題，把防火牆全部打開
NAT 只要把 port 20,21 指定給 FTP 就行了

之前不行，是因為少了一個 prot 20
FTP 運作時候，會監聽 20,21，兩個都會用到
有些資料會說 FTP 只用到 port 21，那是錯誤的

**ysc_kyy** · 2007-11-09, 12:01 PM

謝謝兩位大大進一步解說，尤其還有勞blueno大大在深夜(應該說是清晨..)下載說明書了解，實在感念在心.........

嗯！讓ftp server以dhcp取得動態ip是有道理的，這樣全在分享器掌控之下以免成了化外之地。剛剛已改變為動態ip取得，並在分享器內也設定了靜態ip綁定，結果還是一樣.........

剛剛又做了一些測試，在區網之下FileZilla連線模式不管是passive或是active都能正常連線，以IE網址列打入ftp://xxx.xxx.xxx.xxx也沒問題。
FileZilla或IE連線網址以ftp虛擬ip或adsl配發的IP或經DYNDNS轉址的Hostname都可正常連線，分享器虛擬主機若故意設錯在區網就會連不上線，將虛擬主機對應改正之後又可正常，可見在區網之下以adsl ip或Hostname連線時還是有經過分享器正確轉向ftp server.......

測試遠端連線實在很麻煩，原本是上班設好下班回家再測連線，遇到無法遠端設定的項目或必須調整設備只好隔天再來......剛剛特地找了KK免費撥接在辦公室用modem撥接當遠端，結果還是連不上.......

照理說，在區網之下以dyndns轉址過的Hostname(如abc.dyndns.org)能連線成功，那代表dns解析成adsl ip-->以adsl ip進分享器-->分享器導向ftp這一連串動作都是ok的，那為何遠端就是連不進來？還是想不通.........

**dou0228** · 2007-11-09, 12:55 PM

分享器的問題

FTP Server 的封包送到分享器, 若無法把封包內, 帶有 "虛擬 IP" 的轉成真實 IP
自然會無法連線

內部對連不會有問題, 因為帶有 "虛擬 IP" 的和 FileZilla 客戶端為同一 subnet
當然連的上沒問題

DMZ 還分真實 IP 的 DMZ, 與虛擬 IP 的 DMZ
一般分享器的大多是虛擬 IP 的 DMZ