none
ftp problem on windows 2000 server RRS feed

  • 問題

  • 我已set了一個ftp在windows 2000 server上,還可以給lan的用戶使用。

    我已set好router的port forwarding,但是可以給internet 的用戶access。

    想問下windows 2000 server有沒有一些policy不給internet user access server?

    2006年12月19日 上午 03:56

解答

  • 1. 從 FTP Server/Damon 本身設定:
        FTP Damon => 此 Damon 安全相關設定頁面(看是用哪種 FTP Server) =>
        Allow *ONLY* from 192.168.0.0 (or 10.10.0.0 or your LAN IP segment).



    2. 從 Windows 「系統管理工具 => 本機安全性原則」:
       於某一個現存或新增的「原則」內,新增兩組 「FTP 清單/篩選器」
       
        2.1  篩選「阻擋」所有的 21 Port
                如:來源 => 任何的 IP
                        目的 => 我的 IP
                        通訊 => TCP::從任意 -> 到這個(21 or your FTP port)
                         動作 => 阻擋(可能需要新增阻擋動作)
                        不需要鏡像處理。

        2.2 篩選「允許」 LAN:
                如:來源 => 特定 IP 子網路(LAN segment, 如 192.168.0.0)
                        目的 => 我的 IP
                        通訊 => TCP::從任意 -> 到這個(21 or your FTP port)
                        動作 => 允許
                        不需要鏡像處理。

        2.3 指派此原則

    2006年12月19日 上午 10:08

所有回覆

  • 建議詳述網路環境的設定。
    2006年12月19日 上午 05:30
  • 1. 從 FTP Server/Damon 本身設定:
        FTP Damon => 此 Damon 安全相關設定頁面(看是用哪種 FTP Server) =>
        Allow *ONLY* from 192.168.0.0 (or 10.10.0.0 or your LAN IP segment).



    2. 從 Windows 「系統管理工具 => 本機安全性原則」:
       於某一個現存或新增的「原則」內,新增兩組 「FTP 清單/篩選器」
       
        2.1  篩選「阻擋」所有的 21 Port
                如:來源 => 任何的 IP
                        目的 => 我的 IP
                        通訊 => TCP::從任意 -> 到這個(21 or your FTP port)
                         動作 => 阻擋(可能需要新增阻擋動作)
                        不需要鏡像處理。

        2.2 篩選「允許」 LAN:
                如:來源 => 特定 IP 子網路(LAN segment, 如 192.168.0.0)
                        目的 => 我的 IP
                        通訊 => TCP::從任意 -> 到這個(21 or your FTP port)
                        動作 => 允許
                        不需要鏡像處理。

        2.3 指派此原則

    2006年12月19日 上午 10:08
  • 可以在 IIS 裡面設定連線篩選,最好是能在前端防火牆或是路由器限制 Intelnet 連入即可。
    2006年12月19日 下午 12:51
  • 已設定21port和router的port forwarding,router上的沒有開firewall。

    之前試了在windows 2000 server的iis上的ftp測試過,不行。

    我現在在windows xp用Guildftpd 做ftp server,windows xp沒有開firewall。Guildftpd server 的log上"past connection"會見到有user ip,但是"port"是0和"host"是unknown。

    2006年12月20日 上午 03:46
  • router上沒有開firewall,已做port forwarding。

    之前試過在windows server 2000上,用iis的ftp server,不行。

    現在在windows xp上用GuildFTPd 這個ftp server,windows xp沒有開firewall,GuildFTPd上的log可以在"past connection"上看到這些資料﹕ip >> connect server user 的ip

                                                                      host >> unknown

                                                                      port>>0

    2006年12月20日 上午 03:54
  • 但我是想給internet user access 我的ftp server
    2006年12月20日 上午 03:58
  • 您一開始不是說 "不給 internet user access server" 嗎??

    到底有沒有要讓外部存取 FTP Server 呢? 要的話就要擁有實體的 IP Address,防火牆或是虛擬伺服器要正確的將 IP Address 或是連線埠對應到內部的 FTP Server 上面;或是 Windows Server 安裝兩張網路卡,分別提供虛擬還實體的網路使用。

    2006年12月20日 上午 11:53
  • sorry, 我打多了一個字,不好意思。

    是想給internet可以access。

    2006年12月21日 上午 02:12
  • 你說的實體的ip address是否 isp所提供的fixed ip address?

    因為我在測試是沒有設置防火牆的,但是有一個router已設定好port forward,這是否做了你所說的"防火牆或是虛擬伺服器要正確的將ip address或連線埠對應到內部的 FTP Server 上面"?

    2006年12月21日 上午 02:27