ISA下FTP的解決辦法（4）

從以上內(nèi)容也可以說明一點(diǎn)，從內(nèi)網(wǎng)不能發(fā)布IIS的FTP服務(wù)器，因?yàn)镮IS既沒有選項(xiàng)可以選擇PASV端口的范圍，也沒有辦法讓其返回ISA外網(wǎng)的地址。而serv-u這兩條都可以滿足。當(dāng)然，在微軟的網(wǎng)站上也可能有方法解決IIS的這兩個問題。

發(fā)布FTP服務(wù)器的時(shí)候，要注意FTP服務(wù)器有PORT和PASV兩種模式。兩者的共同點(diǎn)，是都使用21端口進(jìn)行用戶驗(yàn)證及管理，差別在于傳送數(shù)據(jù)的方式不同，PORT模式的FTP服務(wù)器數(shù)據(jù)端口固定在20，而PASV模式則在1025-65535之間隨機(jī)。發(fā)布的時(shí)候要考慮這個差別。

如果FTP服務(wù)器在內(nèi)部網(wǎng)絡(luò)中，在建立serverpublishrules時(shí)（雖然Webpublishrules也能發(fā)布ftp服務(wù)器，但它并沒有提供對port和pasv模式的處理），protocoldefinitions中的21inbound條目要建立一個secondaryconnection，為20端口上的inbound或1025-65535端口之間的inbound。

如果FTP服務(wù)器建立在ISA服務(wù)器上，就需要在ippacketfilters中設(shè)置相關(guān)的條目，對于PORT模式，很簡單，開放20inbound就是，但pasv模式就麻煩一點(diǎn)，因?yàn)閕ppacketfilters不能設(shè)置端口段，但我們也不可能把幾萬個端口逐個寫一遍，只能把localport設(shè)置為dynamic，remoteport設(shè)置為allports，當(dāng)然，對安全性這是個損害。

幸運(yùn)的是，有些PASV模式的FTP服務(wù)器能夠設(shè)置PASV模式端口的范圍，比如serv-u，它能夠把PASV模式端口控制在最多50個端口范圍內(nèi)，如果為serv-u設(shè)置的并發(fā)用戶數(shù)不多，那么我們就可以為每個PASV端口寫一條filter，不需要開放所有的端口了。如果使用IIS的FTP服務(wù)器，這個FTP服務(wù)器沒有提供選擇PASV模式端口的功能，只能如上所述那樣，開放dynamic和allports。

從你上面的出錯信息來看，你應(yīng)該是使用IE來訪問FTP服務(wù)器吧。IE的FTP客戶端與其它專業(yè)FTP客戶端不同，不能夠自動檢測FTP服務(wù)器的類型以及根據(jù)服務(wù)器的類型改變客戶端的種類。IE只提供了一個手工選項(xiàng)來改變PORT和PASV客戶端角色，就是internet選項(xiàng)->高級->為FTP站點(diǎn)啟用文件夾視圖，選擇它，IE為PASV模式客戶端，不選則為PORT客戶端。你需要根據(jù)服務(wù)器的類型手工更改這個選項(xiàng)。如果服務(wù)器的出口是ADSL類的鏈路，還要把“使用被動FTP（為防火墻和DSL調(diào)制解調(diào)器兼容性）”一項(xiàng)選上，這兩個選項(xiàng)只在IE5.5以上版本提供。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]