我在 2003 机器上运行 Windows FTP 服务器。它以被动模式运行。我已将被动端口设置为 5500 - 5520。
在防火墙上我打开了 TCP 21 和 5500 - 5520 端口。
范围设为所有人。
我遇到的问题是,当防火墙开启时,我的一个客户无法查看文件夹。如果我关闭防火墙,她就可以查看了。但是我可以连接并查看文件和文件夹(使用相同的登录详细信息,但位置不同)。
以下是她尝试连接时的日志:
2010-06-28 14:10:12 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [186]USER gandgadmin - 331 0 0 0 0 FTP - - - -
2010-06-28 14:10:12 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [186]PASS - - 230 0 0 0 0 FTP - - - -
2010-06-28 14:12:36 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [185]closed - - 421 121 0 0 161438 FTP - - - -
2010-06-28 14:13:43 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [187]USER gandgadmin - 331 0 0 0 0 FTP - - - -
2010-06-28 14:13:43 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [187]PASS - - 230 0 0 0 0 FTP - - - -
2010-06-28 14:14:20 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [188]USER gandgadmin - 331 0 0 0 0 FTP - - - -
2010-06-28 14:14:20 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [188]PASS - - 230 0 0 0 0 FTP - - - -
2010-06-28 14:15:08 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [189]USER gandgadmin - 331 0 0 0 0 FTP - - - -
2010-06-28 14:15:08 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [189]PASS - - 230 0 0 0 0 FTP - - - -
2010-06-28 14:15:53 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [188]QUIT - - 226 0 0 0 0 FTP - - - -
2010-06-28 14:16:44 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [190]用户 gandgadmin - 331 0 0 0 0 FTP - - - - 2010-06-28 14:16:44 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [190]通过 - - 230 0 0 0 0 FTP - - - - 2010-06-28 14:19:36 84.201.189.58 gandgadmin MSFTPSVC1 NTDD2761 62.128.131.128 21 [190]关闭 - - 421 121 0 0 171969 FTP - - - -
我让她使用 FileZilla 客户端,并通过电话向她介绍了详细信息,并让她的技术人员查看了一下,一切似乎都正常,(无法去她的办公室,而且由于他们的防火墙等原因,远程协助似乎不是一种选择)。
看起来她通过了身份验证,但无法查看文件结构。
有人知道如何在不关闭防火墙的情况下修复这个问题吗?
编辑1
因此,防火墙之前没有记录,并且花了一段时间才让用户重新测试,以下是防火墙在她的 IP 上显示的几个结果:
2010-06-29 16:30:23 OPEN-INBOUND TCP 84.201.189.58 62.128.131.38 58515 80 - - - - - - - - -
2010-06-29 16:30:23 OPEN-INBOUND TCP 84.201.189.58 62.128.131.38 44671 80 - - - - - - - - -
2010-06-29 16:30:23 OPEN-INBOUND TCP 84.201.189.58 62.128.131.38 51013 80 - - - - - - - - -
2010-06-29 16:30:29 CLOSE TCP 62.128.131.38 84.201.189.58 80 54825 - - - - - - - - -
2010-06-29 16:30:34 CLOSE TCP 62.128.131.38 84.201.189.58 80 58515 - - - - - - - - -
2010-06-29 16:30:23 OPEN-INBOUND TCP 84.201.189.58 62.128.131.38 32930 80 - - - - - - - - -
2010-06-29 16:30:52 OPEN-INBOUND TCP 84.201.189.58 62.128.131.128 4049 21 - - - - - - - - -
2010-06-29 16:30:52 CLOSE TCP 84.201.189.58 62.128.131.22 4046 5001 - - - - - - - - -
2010-06-29 16:30:57 CLOSE TCP 84.201.189.58 62.128.131.128 4045 21 - - - - - - - - -
2010-06-29 16:30:57 CLOSE TCP 84.201.189.58 62.128.131.128 4047 21 - - - - - - - - -
2010-06-29 16:30:57 CLOSE TCP 84.201.189.58 62.128.131.128 4049 21 - - - - - - - - -
2010-06-29 16:30:57 CLOSE TCP 84.201.189.58 62.128.131.128 4051 21 - - - - - - - - -
2010-06-29 16:31:01 DROP TCP 84.201.189.58 62.128.131.22 4046 5001 40 FA 3083694181 3568639956 32768 - - - RECEIVE
2010-06-29 16:31:04 OPEN TCP 62.128.131.128 84.201.189.58 2739 4046 - - - - - - - - -
2010-06-29 16:31:24 CLOSE TCP 62.128.131.38 84.201.189.58 80 44671 - - - - - - - - -
如果我理解正确的话(可能不正确),似乎她正尝试连接 FTP 正在监听的不同端口,但防火墙阻止了它。
编辑2
我们认为我们已经找到原因,(等待用户测试),当防火墙打开时,ftp连接开始于。。.128 但一旦通过身份验证就会切换到**。.**.22。当防火墙关闭时,它会停留在 128 IP 上。不能 100% 确定为什么会这样,但似乎有道理。我们已要求他们将 128 的防火墙规则复制到他们那边的 22,看看是否有效。
编辑3
我们认为我们已经弄清楚了它为什么要更改 IP。该机器分配了多个静态 IP。默认 IP 是 .22 IP。所以我将 FTP IP 更改为该 IP,它似乎仍停留在同一个 IP 上。仍在等待用户回来确认这两项更改,(如果不是为了用户,这会容易得多)。
谢谢
答案1
她通过了身份验证但看不到数据,这显然是“被动模式”问题(数据传输)。也可以在客户端配置被动模式端口范围,也许它使用不同的端口。
您可以检查防火墙日志中是否存在来自该 IP 的被阻止的连接吗?
答案2
您收到错误 421,因为您已超出此用户的可用连接总数或限制。要清除错误,请打开 IIS,右键单击 ftp 用户并单击属性,然后单击当前会话以断开所有当前连接。
答案3
原因是当防火墙启动时,FTP 将在 IP 128 上运行,但经过身份验证后它会切换到 IP 22。它对我的客户不起作用的原因是他们的防火墙阻止了 IP 22。