一.概述:

听了yeslab的秦珂老师的ASA视频,说PAT时,FTP服务器在Outside,FTP客户端在Inside,这种情况主动FTP能正常工作是因为:ftp审查可以使得穿越PAT时FTP能正常工作(修改了FTP应用层的数据),并且使得FTP主动模式下从Outside主动向Inside发起的包能够顺利通过防火墙。因为在路由器上配置PAT,FTP也能正常工作,因此打算测试一下,到底是FTP审查使得PAT能正常工作,还是ASA自身的PAT就能使得PAT能正常工作。
二.测试思路及结论:
A.关闭ASA的FTP审查,确认FTP被动模式是否能正常工作
----能正常工作,FTP被动模式都由Inside的FTP客户端主动发起,防火墙不需要放行策略的FTP审查就能正常工作
B.关闭ASA的FTP审查,Inside路由器作为FTP客户端设置为主动模式,确认FTP主动模式是否能正常工作
----不能正常工作,通过抓包可以发现,Outside接口FTP服务器收到的FTP客户端的发送的FTP应用层的数据中IP没有被更改,FTP服务器主动去连接PAT之前的地址,导致连接无法建立
----进一步确认了老师讲课所说的是正确的
三.测试拓扑:
四.基本配置:
A.FTP服务器
ip:202.100.1.1/24
开启3CDamon,并配置FTP服务器
B.ASA842防火墙:
①接口配置
interface GigabitEthernet0
nameif Outside
security-level 0
ip address 202.100.1.10 255.255.255.0
no shut
interface GigabitEthernet1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0

no shut、

②全局policy map修改:
----关闭FTP审查,并且启用icmp审查
policy-map global_policy
class inspection_default
no inspect ftp
inspect icmp
③PAT配置:
object network Inside_net
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface
C.Inside路由器:
①接口配置:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0

no shut

②默认路由配置:
ip route 0.0.0.0 0.0.0.0 10.1.1.10
③FTP用户名和密码配置:
ip ftp username xll
ip ftp password 1234qwer,
五.测试步骤:
A.关闭FTP审查后,被动FTP能正常工作
①被动FTP能正常传文件
Inside#copy ftp: flash:
Address or name of remote host [202.100.1.1]?
Source filename [202.100.1.1]? xx.txt
Destination filename [xx.txt]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing ftp://202.100.1.1/xx.txt...
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
Erase of flash: complete
Loading xx.txt
[OK - 24/4096 bytes]

Verifying checksum... OK (0x8A8A)
24 bytes copied in 6.820 secs (4 bytes/sec)
Inside#

②Inside路由器接口抓包:
③Outside接口FTP服务器上面抓包:
B.关闭FTP审查后,主动FTP不能正常工作:
①Inside路由器设置FTP客户端为主动模式:
(config)#no ip ftp passive
②主动FTP无法正常工作:
Inside#copy ftp: flash:
Address or name of remote host [202.100.1.1]?
Source filename [202.100.1.1]? xx.txt
Destination filename [xx.txt]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessingftp://202.100.1.1/xx.txt...
③Inside路由器接口抓包:
④Outside的FTP服务器抓包:
---从抓包中,确实可以看到,如果不开启FTP审查的话,ASA不会修改FTP应用层的IP地址,因为FTP服务器收到FTP客户端告诉给它的地址为内网PAT前的地址,导致FTP服务器无法连接。
C.开启FTP审查后,被动FTP能正常工作:
①ASA防火墙开启FTP审查:
policy-map global_policy
class inspection_default
inspect ftp
②被动FTP能正常工作:
Inside#copy ftp: flash:
Address or name of remote host []? 202.100.1.1
Source filename []? xx.txt
Destination filename [xx.txt]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing ftp://202.100.1.1/xx.txt...
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
Erase of flash: complete
Loading xx.txt
[OK - 24/4096 bytes]

Verifying checksum... OK (0x8A8A)
24 bytes copied in 1.788 secs (13 bytes/sec)

③Inside路由器接口抓包:
④Outside的FTP服务器抓包:
----从抓包接口来看,确实因为开启FTP审查,ASA修改了FTP应用层的数据,将IP地址和端口进行了修改。
本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1304633,如需转载请自行联系原作者

ASA对FTP的审查抓包测试相关推荐

  1. win10中Charles从下载安装到证书设置和雷电模拟器或浏览器中抓包测试

    一.下载安装及证书设置 1.在Charles官网https://www.charlesproxy.com/download/下载,我这边下载的是免费体验版的. 体验版用一段时间就会退出,这里另外提供给 ...

  2. 【测试】抓包技术哪家强?关于Burp、Fiddler、Charles三个工具的抓包测试

    关于Burp.Fiddler.Charles抓包测试 文章目录 关于Burp.Fiddler.Charles抓包测试 一.测试目标 二.工具分析 三.操作流程 1.Burp Suite抓包实战: 2. ...

  3. 【FFH】如何在鸿蒙系统上进行抓包测试

    [FFH]如何在鸿蒙系统上进行抓包测试 前言 什么是抓包? Charles工具介绍 Charles代理配置 Charles访问配置 鸿蒙端代理配置 抓取https数据 (一)安装SSL证书 (二)Ht ...

  4. wireshark抓包测试:海康摄像机

    之前反馈海康威视的网络监控摄像机数据在平台拉流异常,读取不到数据,问题所在范围很大,一步步查找,跟着领导学抓包测试,在学校接触过wireshark抓包,不过只是小打小闹入门而已,真正实战的还是得跟着导 ...

  5. 为什么做抓包测试 及抓包 http 原理图解分析

    一:抓包测试的概念 二:为什么做抓包测试 三:抓包http原理图解 四:抓取内容解析

  6. java实现FTP协议:wireshark抓包解析

    本节我们看看ftp协议的数据包格式,同时使用代码加以实现.首先我们现在机器上安装ftp服务器,我在自己的机器上安装了QuickFTP Server,它是我随便找来的一款Mac ftp服务器,如下图所示 ...

  7. 软件测试中抓包测试,抓包的目的是什么?

    在程序运行的数据交互中,传输的数据一般都是以数据包的形式传输. 在这个发送和接收的过程中,可能发出的数据包中有错误的数据,也可能接收的包中有错误的数据,从而导致后期的程序处理出错. 因此我们直接抓取传 ...

  8. 15个抓包测试工具免费

    1. Hping Hping是最受欢迎和免费的抓包工具之一.它允许你修改和发送自定义的ICMP,UDP,TCP和原始IP数据包.此工具由网络管理员用于防火墙和网络的安全审计和测试. HPing可用于各 ...

  9. tcpdump抓包ftp协议_tcpdump抓包使用方法详解

    tcpdump抓包分析详解 [root@linux ~]#tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX] [-r 档案] [所欲撷取的数据内容] ...

最新文章

  1. 【CVPR2020】30篇最新论文抢先看!!!
  2. Linux vmstat命令详细解读
  3. 雷军做程序员时写的文章,太牛了!
  4. 登上软件开发的和谐号
  5. 模板多个列表级联_Excel办公技巧:使用power query快速合并同一工作簿的多个工作表...
  6. angular2+ 中封装调用递归tree
  7. 【5分钟 Paper】Reinforcement Learning with Deep Energy-Based Policies
  8. make files touse cmd line to protect exe
  9. td 提示暂无数据图片同上
  10. 人事管理系统都有哪些功能和优势?
  11. 海量数据处理的方法总结
  12. linux修改系统语言为中文
  13. windows双系统完全删除ubuntu
  14. Uptime-Kuma 一个花哨的开源监控工具
  15. Honda CB650R/CB650F
  16. IIS配置webp后缀文件
  17. Spreadtrum_Android_8805和8810环境搭建和源码编译V1.0.1_Word文档
  18. 【IJCV2020】【语义编辑】Semantic Hierarchy Emerges in Deep Generative Representations for Scene Synthesis
  19. RabbitMQ入门教程(十一):消息属性Properties
  20. ubuntu是linux家族中的祸害

热门文章

  1. mysql中binlog_format模式与配置详解
  2. 开源爬虫larbin分析
  3. 关于H3C iNode防代理功能会将pplive等软件检测为代理而下线问题的解决方法
  4. html 文字只设计一段颜色,html – sphinx,reassuredtext:为单个字设置颜色
  5. 在钉钉上怎么手写_胖·评测|亲测!磐度A5数字纸笔手写板能适配多少直播平台?...
  6. xyz后缀的网站_.XYZ五岁了
  7. 路由器有线优先吗_路由器要定时按这个键,很多人不懂,难怪网速又慢又卡!...
  8. 导入不了css,CSS不导入。
  9. MySQL高级 - 存储引擎 - 特性
  10. MySQL 高级 - 索引 - 索引分类