【求助】ensp使用nat转换和acl后,外网用户对内网FTP服务器只能登录,不能访问

m0_38025041 2019-08-18 04:56:43
如题!用ensp做模拟实验时遇到不能正常访问FTP的情况,拓扑如下

要求实现:Client1不能直接访问分公司,但能通过映射在公网的地址访问分公司内网的ftp服务器。
配置静态路由保证整个拓扑互通,在AR1的G0/0/0口配置acl禁止192.168.1.0访问192.168.5.0和200.1.10.2

在AR2的G0/0/0口配置NAT

此时,理论上在192.168.1.0/24网段上的用户无法使用tcp协议访问192.168.5.0/24和200.1.10.2,但是仍然可以通过200.1.10.200访问在192.168.5.100上的ftp服务器。但实际上,Client1进行ftp访问只能登录,但不能获取文件目录

在LSW1的G0/0/1端口和AR2的G0/0/0端口进行抓包,LSW1的抓包结果是

可以看见里面依然包含192.168.5.100的数据包,而AR2中没有,说明acl是生效的,下图是AR2的抓包结果

可以看出FTP没有成功下载目录,但是不知道问题出在哪,Client1是怎么获取到地址192.168.5.100的?下图Client2访问ftp时LSW1G0/0/
1抓包结果

在上面的结果中仍然可以发现192.168.5.100,说明Client1没能获取到文件路径就是因为nat转换存在异常,但如果只是简单的ping命令可以正常的转换,不会在中间链路中发现192.168.5.100。对AR2的G0/0/0和G0/0/1端口抓包查看ftp访问情况,如下两图所示,第一个图是G0/0/0口。


从上面看出从LIST命令开始就没有了,而这个时候Client1就开始访问192.168.5.100,也就被AR1拦截,请问有什么方法能够使它继续访问,请大佬多多指点
...全文
1377 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
weixin_44675165 2021-06-29
  • 打赏
  • 举报
回复

新手请教,既然ACL已经禁止了CLIENT1所有对192.168.5.0网段的TCP访问,那192.168.5.100也是此网段其中一个,FTP又是TCP协议,为什么就可以访问呢?

m0_38025041 2019-08-20
  • 打赏
  • 举报
回复
引用 3 楼 谭林峰 的回复:
设置路由器的alg 功能,开启ftp alg看看
端口映射没有问题,转换过程没有限制端口,开启alg后访问正常,谢谢
谭林峰 2019-08-18
  • 打赏
  • 举报
回复
应该是数据端口通讯出了问题,
谭林峰 2019-08-18
  • 打赏
  • 举报
回复
设置路由器的alg 功能,开启ftp alg看看
谭林峰 2019-08-18
  • 打赏
  • 举报
回复
检查路由器是否映射了20端口
m0_38025041 2019-08-18
  • 打赏
  • 举报
回复
先自己顶。。。。。。。。。。。。。。

3,805

社区成员

发帖
与我相关
我的任务
社区描述
硬件使用 交换及路由技术相关问题讨论专区
社区管理员
  • 交换及路由技术社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧