山石防火墙中. 如何支持非标准端口的ftp服务.
非标准接口ftp服务. dnat + snat 访问测试.
想到这么个问题. 就测试一下…
网络结构.
来的ftp连接 dport 2021 dnat 到ftp服务器地址和服务端口.
出防火墙时在接口进行snat
规则设置any-any permit
===========
第一种设置. 基本是默认的.
默认应该是 有 alg ftp , alg auto的.
ftp 主动和被动模式 都连接失败
这种怎么都不行.
不识别应用. 非标准接口的ftp怎么都不好用.
============
第二种设置.
添加这样的设置. 其中 application FTP 在web介面好像加不上.
应该就是这个选择项把它与ftp服务关联起来的.
app-signature
signature id 1
application FTP
src-zone “Any”
src-addr “Any”
dst-addr “Any”
protocol tcp dst-port 2021 2021 src-port 0 65535
exit
exit
测试. 有了app-signature设置. 只要开启 alg ftp 就可以正常使用. 与alg auto无关.
app-signature + alg ftp 好用.
===========
第三种设置.
不使用 app-signature
在安全域中使用"应用识别". 同时开启 alg ftp, alg auto 也可以正常访问.
(我这里使用的安全域是相同的,只用了一个物理接口测试.)
安全域启"应用识别" + alg ftp + alg auto
===============
目前的理解
非标准端口ftp. alg ftp 来做工作才能保证后面的数据传输连接正常工作.
但之前要把session确定是 ftp连接.
app-signature是手动设置,这个流就是ftp.
开流量识别同时打开 alg auto. 是让设备深度去查每个流.找到ftp连接.
================
两种设置的比较.
手动指定app-signature 性能开销低. 但必须手动标出所有可能的连接. 在应用情况确定的网络中比较合适 .
开启应用识别的方法. 性能开销高. 但适合注意无法手动标清楚的网络环境.
应用识别 功能 数据包最多检测 20 个. 开启时会有性能方的开销.
============
理解比较有限. 先这样记录下来.
山石防火墙中. 如何支持非标准端口的ftp服务.相关推荐
- Wireshark分析非标准端口号流量
Wireshark分析非标准端口号流量 2.2.2 分析非标准端口号流量Wireshark分析非标准端口号流量 应用程序运行使用非标准端口号总是网络分析专家最关注的.关注该应用程序是否有意涉及使用非 ...
- 12017.linux设置串口支持非标准波特率614400
linux中设置支持非标准波特率614400, 项目中要用到这个波特率,花了几天,参考了几个博客,发现资料很少,都大同小异,应用到我的开发板,发现并没有什么用. 故阅读了一下内核代码,结合其他大神的博 ...
- 让Microsoft Web Application Stress Tool 支持非80端口的站点测试
刚在做内网内某个项目的性能测试 项目部署的端口为4000 然后用Microsoft Web Application Stress Tool 测试 发现居然不支持非80端口 找遍整个配置界面没发现por ...
- nginx 监听非标准端口80,重定向端口丢失问题解决
nginx 监听非标准端口80,重定向端口丢失问题解决 参考文章: (1)nginx 监听非标准端口80,重定向端口丢失问题解决 (2)https://www.cnblogs.com/qianxunm ...
- 在Windows上挂载磁盘为非445端口的SAMBA服务(原创)
在Windows上挂载磁盘为非445端口的SAMBA服务(以下以4450端口为例): 一.SAMBA服务修改端口号 1.修改/etc/samba/smb.conf 在[global]节点下,修改smb ...
- project中如何设置非标准工作时间
在Project中默认工作时间是每天8小时(8:00~17:00),每周40小时(每周5天),但是有时候我们会设置非标准的工作时间,比如兼职工作,每天工作1小时(16:00~17:00),每周工作7小 ...
- 如果设计中使用了非标准的字体,你该如何去实现?
所谓的标准字体是多数机器上都会有的,或者即使没有也可以由默认字体替代的字体. 方法:1.用图片代替 2.web fonts在线字库,如Google Webfonts,Typekit 等等:http:/ ...
- 劣质VGA线导致不支持非标准分辨率显示
前几天在淘宝买了一根号称"高品质VGA"线,想用将我的物理像素为 1360x768 的液晶电视机接到笔记本电脑上 结果忙乎了几个小时,发现用这根"高品质"的VG ...
- Windows中使用netsh命令进行端口转发
在Linux中,使用iptables可以非常轻松地配置端口重定向.在Windows Server系统上,路由和远程访问服务(RRAS)通过使用虚拟专用网络 ( VP N) 或拨号连接支持远程用户或站点 ...
最新文章
- 【死磕JVM】五年 该知道JVM加载机制了!
- 使用bpf 排查 fd 泄漏
- 关于kali相关的参考文章
- [二分查找] 二:二分查找的经典例题
- 嵌入式开发板上常用术语
- AES算法相关数学知识 - 素域学习
- 在markdown编辑模式中打出彩色的文字
- 概率论-2.4 常用离散分布(待补充期望方差证明)
- loss function
- 如何实现一个简单的RPC
- 虚拟机C盘上建HTML文件怎,电脑如何通过VMware虚拟机映射本地磁盘实现文件共享...
- lammps+colvars计算PMF
- 2022寒假---冲冲冲~
- OV代码签名数字证书
- 163个人电子邮箱免费注册,外贸邮箱用哪个比较好?
- 工作经历最详细的模板
- 计算机市场调研报告doc,计算机市场调研报告.doc
- 《算法分析与设计》第二周课堂笔记 孙晓 老湿
- 基于netty实现的socks5代理协议
- 旅行商问题(深度优先搜索 回溯法 排列树)