Контроль Cisco ASA FTPS (FTP явный SSL/TLS)
На server1 переходят в Network Connections -> Local Area Connection N -> Properties -> TCP/IP -> Properties -> General -> Advanced -> DNS tab. Здесь удостоверьтесь, что Вы выбрали Append these DNS suffixes (in order) и помещенный в список:
domain1.local.
domain2.local.
Ping, как большинство программ, использует встроенный сопоставитель DNS. Если Вы даете ему какое-либо имя, например thatserver, это во-первых пытается запросить сервер DNS для thatserver.. Если ответы DNS, "не найденные", это пытается добавить суффиксы. В этом случае это искало бы thatserver.domain1.local. и если "не найденный", то для thatserver.domain2.local.. Если домен не будет в списке, то он не будет искать его - игнорирование того, что домен определяется на 127.0.0.1 серверах DNS.
Наоборот на server2 (то же самое, но порядок доменов в инвертированном списке).
Конфигурирование FTPS (или неявный или явный) для работы позади брандмауэра NAT может быть головной болью.
Вы корректны в этом, ASA не может осмотреть зашифрованный трафик SSL/TLS. Разбивка происходит, когда канал передачи данных создается. Передаются ли в активном или пассивном режиме, L3 (IP) и L4 (порт) информация относительно канала передачи данных в канале управления FTP/FTPS. С традиционным FTP и контролем FTP ASA, эти данные "осмотрены" и "зафиксированы" для соответствия public/outside/whatever интерфейсу IP, и ASA динамично добавляет разрешение ACL для разрешения трафика канала передачи данных.
С SSL/TLS (как часть FTPS) ASA не видит необходимые детали канала управления, чтобы "осмотреть" или "зафиксировать" то, что необходимо, чтобы заставить канал передачи данных работать. По сути, у Вас должен будет быть некоторый добавленный ум/возможность, встроенный в серверное приложение FTPS, которое Вы используете.
Возможности включают следующее:
- Способность установить диапазон портов, отправленный в канале управления, который будет использоваться для канала передачи данных, как используется пассивным режимом (PASV) клиенты.
- Способность установить IP-адрес, отправленный в канале управления, который будет использоваться для канала передачи данных, как используется пассивным режимом (PASV) клиенты.
Наконец, в Вашем брандмауэре, разрешая (через туземный/статичный и ACL) диапазон настроен в номере 1.
В среде Windows Цербер является большим сервером FTP/FTPS/SFTP, который имеет необходимые функции и функции.
Например:
Скажите, что Ваш сервер FTPS имеет внутренний IP 192.168.1.10 и вне IP 1.1.1.2.
- Настройте свое программное обеспечение сервера FTPS для использования TCP/35000 для TCP/35999 как диапазон для пассивных клиентов.
- Настройте свое программное обеспечение сервера FTPS для отправки 1.1.1.2 как IP для пассивных клиентов.Примечание: Цербер автоматически обнаруживает Ваш IP WAN и использует его автоматически. Цербер также настроен по умолчанию для не выполнения этой фиксации для локальных сетевых клиентов IP (поскольку это повредило бы их). Цербер умен.:)
- Настройте свой ASA к NAT (использующий статический NAT или статический диапазон PAT) для TCP/35000 к TCP/35999 (плюс TCP/21, TCP/990, и т.д.)
- Настройте свой ASA к разрешению ACL TCP/35000 к TCP/35999 к сервер FTPS (плюс TCP/21, TCP/990, и т.д.)
Теперь, когда клиенты соединяются в от WAN с помощью неявных или явных FTPS, сервер FTPS передаст корректный IP-адрес WAN обратно (не его частный адрес) и порт TCP в известном диапазоне, который будет использоваться в канале передачи данных. Наличие конкретно NAT'd и ACL разрешили порты TCP, ASA inspection/fixup не требуется.
Интересный (долгая ссылка на FTP/FTPS/SFTP через брандмауэры): FTP Через Брандмауэры