新網頁1

問題說得很清楚﹐推斷也很明晰。好﹗
板上要發問題的朋友應該多向這位大哥學習學習。

elf <elf.bbs@bbs.ntu.edu.tw> wrote in message
news:3cYidk$85x@bbs.ntu.edu.tw...
> 抱歉還是來提問題了,因為找了一些站的精華區還是找不到解答,煩請
> 各位先進能不吝指教.
>
> 情形是醬子的,我發現在NAT底下的內部網域(使用虛擬IP)的主機在連
> 到外部的FTP站台時,若其控制連接程序的Port為well-known的21,則
> 連線上是沒有問題的,但是若FTP站台的控制連接程序的Port不是正常
> 的21而是其它Port號時(如199等),則連線會有問題,狀況是可以登入,
> 但資料卻傳不回來,我知道FTP的連接必須透過兩種程序,也就是說,在
> 控制連接程序的連線OK外,資料傳輸程序也得正確才行,麻煩就麻煩在
> 這,由於本身的FTP站是架在內部網域裏,而且控制連接程序Port也不
> 是用正常的21,而是自行設定了其他的Port,所以在Linux之NAT主機上
> 就設了以下的環境：
>
> ipmasqadm portfw -a -P tcp -L xxx.xxx.xxx.xxx(My真實IP) 20 -R 192.1.
> 168.xxx 20
> ipmasqadm portfw -a -P tcp -L xxx.xxx.xxx.xxx(My真實IP) 206(ftp port)
192.1.
> 168.xxx 206(ftp port)
>
> 結果是醬子：
>
> port localaddr rediraddr        lport       rport      pcnt pref
> TCP 本機名稱   192.1.168.xxx    ftp-data    ftp-data   10    10
> TCP 本機名稱   192.1.168.xxx    199         199        10    10
>
> 我想,不知是不是因為把資料傳輸程序用的Port號20也轉進到內部主機上才使得
> 連接特殊外部FTP(如其連接Port為199)時發生問題,於是把它取消,變成醬子：
>
> port localaddr rediraddr        lport       rport      pcnt pref
> TCP 本機名稱   192.1.168.xxx    199         199        10    10

不知道您所指的 FTP 是指從裡到外抓﹐還是讓外進裡抓呢﹖

如果是到外面抓﹐這裡的設定沒什麼影響﹐FTP 和 FTP-DATA 這兩個 port 都是給
server 端用的。而 client 端則如您下面所指出的﹐是一個大於 1024 隨機產生的
port 。

>
> 但是仍然不行,我最迷惑的地方是,因為在FTP的Client端的控制連接程序Port都
> 是隨機的,所以在Linux的NAT主機上根本無法預先設定好要轉入的Port,但是為
> 什麼正常的FTP主機(即控制連接程序Port為21)卻可以正常連線,有沒有辦法讓
> NAT底下內部網域的主機在連接控制連接程序Port不是21的FTP站台時也能正常
> 連線呢?
>
> 問題有點冗長,若有問題說明不周之處,還請各位先進不吝給予指正,感謝各位先
> 進耐心地看完,若能得到您的幫助,感激不盡,謝謝.

當您在 NAT 後面讓客戶端到外面建立標準的 port 21 的 FTP 服務﹐如果單純在 MASQ
之下而不載入 ip_masq_fp.o 模組的話﹐數據通道是無法建立的。而至於為什麼非標準
port 的 FTP 不能成功﹐我也不是很清楚﹐可能是模組不能辨別的關係。或許您可以改
用 passive mode 來試試。因為連線請求都來自客戶端﹐MASQ 應該會有每一個連線的
偽裝記錄﹐然後順利完成 DE-MASQ 的動作。

關於 FTP client 在 NAT 後面的工作﹐弟在如下網頁簡單說過﹐可以參考一下的﹕
http://ccns.ncku.edu.tw/study-area/linux/linux_nat.htm