使用NAT打造FTP服务新法.doc

Forpersonaluseonlyinstudyandresearch;mercialuse膅使用NAT打造FTP服务新法莁FTP(FileTransferProtocol,文件传输协议)的传统服务之一。FTP使用户能在两个联网的计算机之间传输文件,传递文件最主要的方法。除此之外,FTP还提供登录、目录查询、文件操作及其它会话控制功能。在系统中FTP服务使用23端口进行通信,在Window、Linux系统中都可以设置FTP服务。workAddressTranslation)网络地址转换,NAT服务器就是支持地址转换的代理服务器。当有几个工作站却只有一个合法的上网账户和IP地址时,可以用NAT服务器来实现地址转换。肆本文主要介绍在NAT服务器上设置FTP服务。这样的FTP服务设置比起其它一些服务,如杂得多。这是由于FTP自身的原因,因为FTP在连接过程中,mand和Data两个通道才能实现,而其连接的起始方向,对NAT服务器规则的设置有相当重要的影响。薆设置规则肃假设现在NAT服务器上有3块网卡,它们分别连接不同的网络且分配不同的IP地址。例如,第一张网卡A是用外网C类IP地址:;第二张网卡接DMZ,使用A类IP:;第三张网卡接内部网络,使用C类IP地址:;DMZ内有一台主机,IP:,并且准备提供FTP服务(使用port21和port2121)。罿如果DMZ和外网的路由是通的,那么NAT服务器上只进行单纯的封包过滤,没有修改packet,而且预设的policy都是DENY。如果DMZ和外网的路由是不通的,要如何设置规则,使得FTP能顺利向外部提供服务呢?可以用如下命令将第一块网卡的port21连接请求转至21来提供服务。膆方法一:ipchains羇我们用命令:ipmasqadmportfw-a-Ptcp-L21-R21来进行操作。蒁NAT服务器上的预设policy全为DENY,要设置所有必须的规则,让FTP能顺利向外提供服务。以如下示例说明:肂ipchains-Ainput-ieth0-pTCP-d21-EPT膆ipchains-Aforward-pTCP-d21-EPT膄ipchains-Aoutput-ieth1-pTCP-d21-EPT节ipchains-Ainput-ieth1-pTCP-s21-EPT袁ipchains-Aforward-pTCP-s21-EPT芆ipchains-Aoutput-ieth0-pTCP-s21-EPT薄ipchains-Ainput-ieth0-pTCP-d2121-EPT羄ipchains-Aforward-pTCP-d2121-EPT蕿ipchains-Aoutput-ieth1-pTCP-d2121-EPT莆ipchains-Ainput-ieth1-pTCP-s2121-EPT羅ipchains-Aforward-pTCP-s2121-EPT莂ipchains-Aoutput-ieth0-pTCP-s2121-EPT莈以上是在没有考虑其它安全要求、单就FTP服务进行设置的情况下,以ipchains作为命令的操作。蒆ipchains-Ainput-ieth0-pTCP-d21-EPT莆ipchains-Aforward-pTCP-d21-jMASQ肄ipchains-Aoutput-ieth1-pTCP-d21-EPT莁ipchains-Ainput-ieth1-pTCP-s21-EPT薅ipchains-Aforward-pTCP-s21-jMASQ蒃ipchains-Aoutput-ieth0-pTCP-s21-EPT薂ipmasqadmportfw-a-Ptcp-L2121-R2121膀ipchains-Ainput-ieth0-pTCP-d2121-EPT蚅ipchains-Aforward-pTCP-d2121-jMASQ袄ipchains-Aoutput-ieth1-pTCP-d2121-EPT芄ipchains-Ainput-ieth1-pTCP-s2121-EPT罿ipchains-Aforward-pTCP-s2121-jMASQ罿ipchains-Aoutput-ieth0-pTCP-s2121-EPT芅下面对上述命令进行说明。螂命令1:ipchains-Ainput-ieth0-pTCP-d21-EPT羂建立连接用,因为使用ipmasqadm命令来实现DNAT服务器(portforward),因此,destiNAT服务器就成了NAT服务器的外部界面。聿命令2:ipchains-Aforward-pTCP-d21-jMASQ*蚆值得注意的是,因为在DNAT服务器时已经将destiNAT服务器socket修改过了,也就是封包input进来后,外网的IP:,是当它