外网访问内网FTP服务器配置小结

环境：思科3825路由器、IIS6搭建的FTP服务器

说明：思科3825端口G0/0为内网口、G0/1为外网口（固定公网IP）

配置：

①思科3825

config t

ip access-list extend FTP  【配置命名acl，这里命名cal的名字是FTP】
no deny ip any any   【原acl末尾deny语句先取消】
permit ip host 内网FTP服务器私有IP any 【允许FTP服务器访问公网】
deny ip any any 【再次启用deny语句】

exit
ip nat inside source list FTP int G0/1 overload 【对源于命名访问列表FTP的流量在端口G0/1上进行PAT】ps：关键词overload
ip nat inside source static tcp 内网FTP服务器私有IP 21 固定公网IP 21 extendable【将内部私有地址的TCP端口21映射到内部全局地址的TCP端口21】ps：关键词extendable
int G0/0 
ip nat inside  【定义G0/0为NAT入口】

int G0/1
ip nat outside【定义G0/1为NAT出口】

end

copy run start

ps：ACL语句必须启用，即应用到某个端口的入口/出口（ip access-group in/out），或者使用NAT。（如果在端口上使用了NAT，就不能在端口上使用ip access-group in/out语句了）

ps：PAT是多对一转换，语句末尾必须有overload关键词，因为只有一个公网IP所以无需定义地址池。

 

②FTP服务器

设置系统自带的防火墙：控制面板--windows防火墙--高级-本地连接--设置--FTP服务器（打勾）

其他：关闭匿名访问、设置读写权限（包含FTP本地路径中的文件夹读写权限）、设置最大连接数等等
 

访问：在外网使用FTP://公网IP

小结：实验和应用的区别，实验告诉你基本方法和思路，应用则要求具体情况具体对待。之所以这么说，是因为网上有一种流行的‘思科路由做端口映射’的方法，但是其中给出的acl是标准acl，而在我的实际情况中，标准acl是不符合管控规定的。