非标准接口ftp服务. dnat + snat 访问测试.
想到这么个问题. 就测试一下…
网络结构.
来的ftp连接 dport 2021 dnat 到ftp服务器地址和服务端口.
出防火墙时在接口进行snat
规则设置any-any permit
===========
第一种设置. 基本是默认的.
默认应该是 有 alg ftp , alg auto的.
ftp 主动和被动模式 都连接失败
这种怎么都不行.
不识别应用. 非标准接口的ftp怎么都不好用.
============
第二种设置.
添加这样的设置. 其中 application FTP 在web介面好像加不上.
应该就是这个选择项把它与ftp服务关联起来的.
app-signature
signature id 1
application FTP
src-zone “Any”
src-addr “Any”
dst-addr “Any”
protocol tcp dst-port 2021 2021 src-port 0 65535
exit
exit
测试. 有了app-signature设置. 只要开启 alg ftp 就可以正常使用. 与alg auto无关.
app-signature + alg ftp 好用.
===========
第三种设置.
不使用 app-signature
在安全域中使用"应用识别". 同时开启 alg ftp, alg auto 也可以正常访问.