外网访问内网FTP服务器配置小结

环境:思科3825路由器、IIS6搭建的FTP服务器

说明:思科3825端口G0/0为内网口、G0/1为外网口(固定公网IP)

配置:

①思科3825

config t

ip access-list extend FTP  【配置命名acl,这里命名cal的名字是FTP】
no deny ip any any   【原acl末尾deny语句先取消】
permit ip host 内网FTP服务器私有IP any 【允许FTP服务器访问公网】
deny ip any any 【再次启用deny语句】

exit
ip nat inside source list FTP int G0/1 overload 【对源于命名访问列表FTP的流量在端口G0/1上进行PAT】ps:关键词overload
ip nat inside source static tcp 内网FTP服务器私有IP 21 固定公网IP 21 extendable【将内部私有地址的TCP端口21映射到内部全局地址的TCP端口21】ps:关键词extendable
int G0/0 
ip nat inside  【定义G0/0为NAT入口】

int G0/1
ip nat outside【定义G0/1为NAT出口】

end

copy run start

ps:ACL语句必须启用,即应用到某个端口的入口/出口(ip access-group in/out),或者使用NAT。(如果在端口上使用了NAT,就不能在端口上使用ip access-group in/out语句了)

ps:PAT是多对一转换,语句末尾必须有overload关键词,因为只有一个公网IP所以无需定义地址池。

 

②FTP服务器

设置系统自带的防火墙:控制面板--windows防火墙--高级-本地连接--设置--FTP服务器(打勾)

其他:关闭匿名访问、设置读写权限(包含FTP本地路径中的文件夹读写权限)、设置最大连接数等等
 

访问:在外网使用FTP://公网IP

小结:实验和应用的区别,实验告诉你基本方法和思路,应用则要求具体情况具体对待。之所以这么说,是因为网上有一种流行的‘思科路由做端口映射’的方法,但是其中给出的acl是标准acl,而在我的实际情况中,标准acl是不符合管控规定的。

 

 

你可能感兴趣的:(ftp,端口映射)