firefox-000 发表于 2021-2-16 23:52

已有公网ip但无法通过Padavan访问内网的ftp服务器

本帖最后由 firefox-000 于 2021-2-16 23:54 编辑

提问前搜寻了论坛所有关于ftp的问题,排查了设置,还是无果,有请大神给予指点迷津

先说我的环境和目的

目标:外网访问局域网内某台ftp服务器(因某些原因,只能用ftp,不能用其他协议),不是访问路由器上的usb服务器!

环境:
1、路由:k2p A2,原厂硬件,无修改,系统为Hiboy的K2P_V5_3.4.3.9-099版本(其他Padavan版本也试过不行,高恪ftp可以)
2、网络:有公网ip,有动态域名
3、ftp服务器:本地端口已改为9696

测试结果:
1、该服务器能在不经过路由器的情况下能用公网ip或者动态域名访问ftp,同一台k2p刷入高恪,转发ftp端口,外网也能正常访问
2、在Padavan中,直接把ftp服务器做DMZ,外网能正常访问
3、在Padavan中,只对ftp端口设置转发,无法访问
4、“ftp还需要映射被动端口,一般系统默认是50000-50100,如果路由设置里面不能映射端口范围,需要把ftp设置里面的范围改成单独的端口,比如50000-50000,这样只需要映射50000这个端口就可以了。”按照这个方法,设置,也是无法访问
5、论坛还有些帖子说要打开路由设置-防火墙-允许访问FTP服务器,但是我刷了k2p的Padavan固件都没看到有这个选项


不管单选TCP或UDP,或者both也访问不了
开关upnp也不行:'(
改成1:65535全端口覆盖也不行:'(
不管是否*.*.*.*还是留空默认*也是不行:'(


1、因为基于安全考虑,不想DMZ
2、因最近升级了500M宽带,我原本一直是用高恪的(开启了sfe),有线能跑满,5G无线对比了一下Padavan,发现比高恪要快一丢丢,所以想转用Padavan,但是这个ftp问题困扰了很久
3、出于便利程度,也不想用搭建v~P~嗯的形式连接回去访问ftp,还是想用端口转发的方法


希望有懂的大神指点迷津,祝新年快乐!

gaze 发表于 2021-2-17 07:23

ftp用了两个端口,
一个是21控制端口,
一个是随机的数据传输端口…

你只映射一个控制端口是不行的。

gaze 发表于 2021-2-17 07:31

本帖最后由 gaze 于 2021-2-17 07:32 编辑

ftp服务器需要通过21控制信道通知客户端使用哪个数据端口和自己联系…
所以ftp服务器在NAT路由后面的时候,应该使用PASV模式,并设置好对外的一个端口(或者端口范围),例如50001-50001或者,50001-50099

然后,
在NAT路由器上设置好对应的端口转发,
一个端口时候比较简单,设置一下就行,
N个端口池的情况可能比较麻烦,
要看你的路由器是否支持,
否则你得一条一条写,写N个

gaze 发表于 2021-2-17 07:39

还有一点要注意,
由于服务器在内网环境,
它发出227指令要求客户端连接自己的时候,ip地址会写成自己的内网地址,这样客户端是无法连接ftp服务器的…

所以需要你在ftp服务器的PASV设置里面,不但要设置数据端口,还要设置客户端来访问的地址/ip,,,如果你是固定公网ip,就输入ip地址好了。如果你是拨号用户,那么要跑一个DDNS服务,在这里输入你的ddns域名,以便客户端能寻址到你的公网地址。

wx1980 发表于 2021-2-17 09:18

防火墙打开ftp。没打开,防火墙不放行ftp端口

mkgrow 发表于 2021-2-17 10:42

我的nas上开了nfs服务,和楼主遇到的情况类似,只有用dmz才能访问,如果仅仅通过端口映射或者转发(包括111和2049),实际上还是没有覆盖随机数据传输端口。后来我懒得折腾,直接开了dmz,反正我的路由是二级路由,只用于自家内网访问,主路由我只设了几个需要的端口转发。安全应该没问题。

firefox-000 发表于 2021-2-17 10:44

wx1980 发表于 2021-2-17 09:18
防火墙打开ftp。没打开,防火墙不放行ftp端口

问题是k2p老毛子固件里面,防火墙没有ftp这个选项啊

firefox-000 发表于 2021-2-17 10:48

gaze 发表于 2021-2-17 07:23
ftp用了两个端口,
一个是21控制端口,
一个是随机的数据传输端口…
那为什么 用其他固件时(例如高恪),在同一台ftp一模一样的环境下,我只添加21一个端口,然后只做外网端口转发,却能访问?我甚至把所有端口的覆盖范围1-65535也填上去了,还是没反应

mkgrow 发表于 2021-2-17 10:54

楼主问题如果解决了,详细说一下,我参考。https://www.right.com.cn/forum//mobcent//app/data/phiz/default/46.png

firefox-000 发表于 2021-2-17 10:55

mkgrow 发表于 2021-2-17 10:54
楼主问题如果解决了,详细说一下,我参考。

;P一定一定,少让大家走弯路

sd8655131 发表于 2021-2-17 12:05

firefox-000 发表于 2021-2-17 10:44
问题是k2p老毛子固件里面,防火墙没有ftp这个选项啊

我都是直接把防火墙关了

firefox-000 发表于 2021-2-17 12:16

sd8655131 发表于 2021-2-17 12:05
我都是直接把防火墙关了

把防火墙关了也是不行……

sd8655131 发表于 2021-2-17 14:55

firefox-000 发表于 2021-2-17 12:16
把防火墙关了也是不行……

只是NFS功能无法使用还是说 其他服务也不能访问?比如访问群晖页面 端口5000

firefox-000 发表于 2021-2-17 18:34

sd8655131 发表于 2021-2-17 14:55
只是NFS功能无法使用还是说 其他服务也不能访问?比如访问群晖页面 端口5000

总结来说,就是只有http的协议能访问,ftp和楼上另外一位朋友说的nfs也是不行

gaze 发表于 2021-2-17 21:20

firefox-000 发表于 2021-2-17 10:48 static/image/common/back.gif
那为什么 用其他固件时(例如高恪),在同一台ftp一模一样的环境下,我只添加21一个端口,然后只做外网端 ...

如果ftp客户端在NAT之后,
ftp服务器就不能使用普通模式
就必须使用中PASV模式。

如果ftp客户端本身是公网ip,
或者DMZ,或者已经做了20端口转发,
则整个过程可以不必启动PASV模式,
这时候,随便访问ftp服务器。

因为NAT后面的ftp服务器这时候是主动连接客户端的20数据端口,不必经过服务器所在的NAT网关的入关允许(除非特意设置,通常 防火墙都允许内向外的新建链接)

估计你刷高格做试验的时候是这种情况。

反之,
如果ftp客户端隐秘在NAT网关之内,
则ftp服务器必须要使用PASV模式,

或者ftp服务器本身是公网ip,
或者DMZ,
或者在网关上指定pasv端口的映射。
页: [1] 2
查看完整版本: 已有公网ip但无法通过Padavan访问内网的ftp服务器