开发者社区> 技术小胖子> 正文

利用ISA Server 2006发布内网的Serv-U服务器

简介:
+关注继续查看
前两天有个朋友说,在企业内网搭建了一个Serv-U服务器,在内网访问没有问题,但通过ISA发布出来后,外网用户,不论使用IP或是域名都不能访问。在此我就此问题写了一篇博文来把整个过程实现出来:
我们的拓扑图如下:
此实验用到了三台机器:
Beijing:  在此机器上安装ISA Server 2006
AnHui:  在此机器上搭建 Serv-U服务器
Shanghai 作为外网机器来进行测试

 

步骤一: Anhui安装Serv-u并进行相应的配置
我使用的是Serv-u7.37.3与以前的版本相比,操作界面大不一样,不仅界面不同,而且功能也增加了不少,我个人认为更具人性化操作,下面我们开始安装:
此步是不用多说,肯定是接受。
点击是,定义新域:

通过相应协议可以访问到FTP服务器。在此只允许21端口,否则可能会因为IIS的存在导致SU启动失败或是影响IIS的正常运行!





可以看到当前已经存在了两个用户,杜飞用户上面有一个黄色的惊叹号是因为他没有相对的权限。也就是说,虽然这里创建了杜飞这个用户,但没有给他分配权限。
下面我们来创建一个允许匿名访问的用户,

有两种特殊用户名:"Anonymous"  "FTP"。这两个用户名含义相同,可供访客访问文件服务器。这些用户不需要密码,因此密码部分应该留空。虽然无需输入密码,但 Serv-U 会要求使用这些帐户登录的用户提供其 email 地址以完成登录过程。
然后测试一下:

也可以设置使用域名访问,如下图所示:
然后可以通过DNS或是HOSTS来进行解析操作,解析过程在此不再累述。
然后客户端就可以使用域名来进行连接FTP服务器。
测试如下:

Serv-U的搭载我们就已经完成了,下面就来看看怎么通过ISA 发布出来,供外网用户访问。
步骤二:通过ISA将内网的Serv-U服务器发布出来

因为这是希望外网用户访问内网的服务器,我们需要使用发布规则


创建完成后,我们会发现ISA上开始侦听21端口:
使用IP来访问没有问题,但使用域名来访问时就不行了,这是因为解析有问题:我们可以使用DNS解析,也可以使用Hosts文件,在此我为了操作简单,就直接在ShangHai这台机器上使用Hosts解析:加入以下一行:
192.168.0.4              ftp.dufei.com
然后测试解析是否正常,如下图




至此,实现结束!
但有朋友说按照上面的方法做了,但一直不成功,我分析原因可能如下:
这主要是因为FTP协议与其他的协议不同之外,一般的协议只使用一个周知端口,也就是说客户端只要去向这个周知端口发出连接,一般就可以通讯了,但是FTP就不同了,它在建立连接时候需要创建控制连接也需要用到数据传输连接,控制连接主要用于传递客户端的命令以及服务器端对命令的响应,这个端口是TCP/21端口。但是数据连接的端口是不固定的,这些端口用于传输具体的数据。而且根据FTP工作模式的不同,这个数据连接可能是客户端也有可能是服务器发起的。
关键问题就在于这个数据连接模式上,这里有两种模式,一种是主动模式(port mod),在通讯过程中,控制连接使用周知端口21/TCP,但是,数据传输时所使用的目的端口无法知道, FTP协议使用一个标准的端口21作为ftp-data端口,但是这个端口只用于连接的源地址是服务器端的情况,在这个端口上根本就没有监听进程。FTP的数据连接和控制连接的方向一般是相反的,也就是说,是服务器向客户端发起一个用于数据传输的连接。连接的端口是由服务器端和客户端协商确定的。所以,FTP协议的这个特征对ISA增加了困难。
因此如果Serv-U工作于被动模式时,需要指定 Serv-U 用于 PASV 模式数据传输的端口包含范围。Serv-U 通常在打开套接字用于 PASV 模式数据传输时,允许操作系统为它指派一个随机的端口号。该属性通过将 Serv-U  PASV 端口范围限定于一个已知的范围,满足了路由器或防火墙预先了解特定端口范围的需求。对最繁忙的文件服务器来说 10 个端口足够了。但如果是通过防火墙来发布内网Serv-U服务器时,需要在防火墙上进行设置允许相应的端口。具体操作在此不再累述,请参考此文自行设置!以上只是个人拙见,如有不同意见,请批评指正!





 本文转自 dufei 51CTO博客,原文链接:http://blog.51cto.com/dufei/123028,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
内网部署Windows Server 2012的WSUS补丁服务器(下)
内网部署Windows Server 2012的WSUS补丁服务器(下)
284 0
内网部署Windows Server 2012的WSUS补丁服务器(上)
内网部署Windows Server 2012的WSUS补丁服务器
280 0
外网访问公司内网服务器,无需公网IP,免费内网穿透
在工作中,有时候会遇到在家或者出差在外,公司服务器出现问题,需要在外远程访问公司内网服务器的情况。
258 0
远程公司内网服务器【内网穿透】
疫情期间 当遇到在家休假,却需要远程处于公司内网服务器的场景时,我们可以通过内网穿透将本地端口映射到公网,使用所生成的公网地址来进行远程连接。
291 0
借助阿里云ECS实现本地电脑连接实验室内网服务器
在实验室的服务器上进行开发,往往只能通过内网电脑进行ssh连接。然而疫情当下,很多时候都要居家办公,或远程办公。借助阿里云ECS,我们可以搭建一个FRP服务,实现内网穿透,在家里的电脑也可以ssh连接内网服务器。
844 0
外网访问内网Web服务器
本地安装了一个Web服务端,只能在局域网内访问,怎样从外网也能访问到本地的Web呢?本文将介绍具体的实现步骤。 1. 准备工作 1.1 安装并启动Web服务端 默认安装的Web服务端的端口是8080。
2037 0
爆破Tomcat服务器,GandCrab 4.3勒索病毒成功入侵企业内网
原文作者:腾讯电脑管家   原文地址:http://www.freebuf.com/articles/es/184424.html  前言 近日,腾讯御见威胁情报中心拦截到专攻企业局域网的勒索病毒GandCrab,这个臭名昭著的勒索病毒版本号已升级到4.3。
1090 0
如何将内网服务器数据采集到日志服务
1.背景公司内部服务器都没有公网访问权限,只有少数网关机可以访问公网,但需要将日志采集到阿里云日志服务进行实时分析,因此需要配置网关机转发来实现内网服务器的日志采集。 2.准备材料 一台可以访问外网的网关机 1.
3120 0
+关注
技术小胖子
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
Usb Server
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载