проблема с пассивным FTP позади Cisco asa брандмауэр

Необходимо включить фильтрацию прикладного уровня для FTP с помощью команды "fixup":

# fixup protocol ftp 21

Существует эта статья о ЯЩИКЕ ДЛЯ ПРОБНОЙ МОНЕТЫ, который также относится к ASA:

http://www.ciscopress.com/articles/article.asp?p=24685

Вы, возможно, должны создать правило позволить порты Pasv, не просто порт 21. В Вашей программе FTP обычно у них есть параметр конфигурации, где можно указать диапазон портов клиента Pasv. Укажите, что некоторый высокий диапазон портов говорит 45 200 - 45 500 или что-то как этот. Затем в Вашем ASA позволяют те порты IP FTP-сервера.

ASAs не имеют команды fixup как ЯЩИК ДЛЯ ПРОБНОЙ МОНЕТЫ, сделал.

Вы используете проверки по умолчанию на трафике FTP через правило политики обслуживания?

Привет попробуйте следующие вещи:

пассивный режим ftp

карта политики global_policy

класс inspection_default

осмотрите ftp

Я не exactely уверенный, что делает первая команда, но я видел его в нескольких рабочих конфигурациях. просто дайте ему попытку

но я совершенно уверен, что необходимо создать карту политики с контролем ftp. это - вещь, которую они назвали fixup протоколами на ящике для пробной монеты прежде. это позволяет asa открывать сессию, когда оппозиция выбирает, на котором порте они хотят говорить.

Вы могли переключиться на использование неявного SFTP вместо этого, и затем только необходимо волноваться о единственном порте для открытия.

Я думаю, что команда "режим ftp, пассивный", для asa (сам маршрутизатор), чтобы отправить, или получить конфигурации к или от себя. Не для передающих сессий. Что я нашел....

Древняя тема, но я недавно столкнулся с похожими проблемами и решил, что мои 0,02 доллара могут кому-то помочь.

В моем случае мы запускаем IIS 7.5 за немного более старой версией ASA. , который мы сейчас заменяем. У нас есть существующий FTP-сайт, и я планировал просто добавить поддержку FTPS с сертификатом и, возможно, заставить наших сетевых администраторов открыть несколько портов. IIS имеет аналогичные настройки маскировки для каждого FTP-сайта с именем «Внешний IP-адрес брандмауэра», что само по себе вводит в заблуждение.

Версия TL / DR : Если ваш FTP-сервер позволяет вам указывать маскирующий IP-адрес, диапазон портов, используемых для соединений PASV, вы ДОЛЖНЫ иметь возможность исправить это, открыв эти порты и отключив проверку ftp.

Из-за некоторых других ограничений мне не удалось отключить проверку на нашем ASA, поэтому Пришлось пойти на некоторые компромиссы. Вот что я наблюдал / узнал:

• ASA может проверять только незашифрованный трафик. duh?
• По умолчанию ASA проверяет ряд протоколов, включая FTP.
• клиент аутентифицируется на порту сервера 21 и определяет набор функций, поддерживаемый сервером.
• Клиент, если он настроен, отправит на сервер запрос PASV.
• Сервер ответит сообщением «227 входит в пассивный режим (a, b, c, d, e, f)», где abcd - это сервер адрес и e * 256 + f = номер порта
• Адрес abcd будет внутренним IP-адресом, если не настроен маскарадный адрес
• , проверка FTP перезапишет адрес abcd на внешний IP-адрес и откроет указанный порт для этого клиент.
• Если адрес a.b.c.d является внешним адресом, ответный пакет отбрасывается. * Это могло произойти из-за опции strict, которую я не смог проверить.
• CuteFTP распознает немаршрутизируемый IP-адрес в ответе PASV и попытается вместо этого использовать внешний адрес сервера.
• ASA не может прочитать зашифрованный SSL-трафик FTPS, поэтому он обходит проверку и работает.

Так что в нашем случае, когда я установил маскарадный IP-адрес, я смог нормально подключиться через FTPS, но обычный FTP выйдет из строя. Когда я удалил маскарадный IP-адрес, я все еще мог подключаться к FTP и FTPS с помощью CuteFTP, но наш основной клиент не мог подключиться к FTPS. (их система была недостаточно «умной», чтобы транслировать немаршрутизируемый IP ...)

Таким образом, я использовал два отдельных сайта: один использовал маскирующий IP и требовал SSL, а другой - нет. т.

TMI, но, возможно, это поможет кому-то с этим справиться.