版块 安全类 下一代防火墙NGAF 飞塔防火墙割接到深信服NSF后,无法用公网IP和域名访问F ...
飞塔防火墙割接到深信服NSF后,无法用公网IP和域名访问FTP被动模式

新手056539 2025-9-18 16:26547

{{ttag.title}}
本帖最后由 新手056539 于 2025-9-23 14:09 编辑


现在情况是,用户可以从内网用“内网IP加端口”方式访问这个FTP服务,但无法使用公网IP和域名访问,访问日志均显示超时

已经试过白名单测试机公网ip,无法访问,应该不是安全策略阻挡

同样配置在飞塔上运行良好没有故障

请问这是什么原因,如何解决,感谢大家

解决该疑问,预计可以帮助到 18450 人!

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善
XiaoYang’ 发表于 2025-9-19 11:08
  
可以尝试针对防火墙开定向直通或者在防火墙上面抓包看看日志,明确流量是否正确经过防火墙,同样也可以看看到那个节点出现的问题。希望能够帮助到你!
王老师 发表于 2025-9-19 11:19
  
在飞塔防火墙割接到深信服NSF后,FTP被动模式无法通过公网IP和域名访问(内网访问正常且安全策略已排除),可能是深信服NSF的NAT配置、端口映射、FTP协议解析或被动模式端口范围未正确处理导致的。
王老师 发表于 2025-9-19 11:21
  
核心原因分析
NAT与端口映射问题
飞塔与深信服NAT机制差异:飞塔防火墙可能自动处理了FTP被动模式的动态端口映射(如PAT),而深信服NSF需手动配置或启用特定功能(如FTP ALG)。
端口未正确映射:若FTP被动模式使用高端口范围(如50000-60000),但NSF仅映射了控制端口(21),会导致数据连接失败。
FTP ALG(应用层网关)未启用
FTP被动模式涉及动态端口协商,需ALG解析PASV命令中的端口信息并动态开放。若NSF未启用FTP ALG,会丢弃数据连接包。
被动模式端口范围未明确
FTP服务需配置固定的被动端口范围(如50000-50010),并在NSF中映射这些端口到内网服务器。若范围未配置或不一致,会导致连接超时。
DNS解析与公网IP绑定问题
域名解析的公网IP需与NSF的WAN口IP一致。若存在CDN、负载均衡或DNS缓存,可能导致访问地址错误。
新手056539 发表于 2025-9-22 11:16
  
通过检查会话表解决了,目的地端口在经过nat后发生改变,导致会话超时。通过置空目的地端口一栏,来使nat前后目的地端口一一对应不发生改变,即可解决。
新手260505 发表于 2025-9-23 14:12
  
是不是公网ip映射到内网有问题  
小鱼儿 发表于 2025-9-23 15:20
  
从你的描述来看(内网访问正常、公网访问超时、飞塔配置正常但深信服 NSF 有问题),核心问题很可能出在深信服 NSF 的NAT 转换和FTP 协议特殊处理上。以下是针对性分析和解决步骤:
一、关键原因分析
NAT 反射(Hairpin NAT)配置缺失当用户从公网(或通过公网域名)访问时,深信服 NSF 需要正确将公网 IP / 域名转换为内网 FTP 服务器 IP。如果缺少 NAT 反射配置,防火墙会拦截 “公网 IP→内网服务器” 的反向流量。
FTP 被动模式的端口映射不完整
飞塔可能默认处理了 FTP 被动模式的动态端口映射,而深信服 NSF 需要手动指定被动端口范围并配置映射。
若仅映射了 21 端口,数据连接的动态端口会被拦截,导致超时。
FTP ALG 功能配置问题深信服的 FTP ALG(应用层网关)未正确启用或配置,无法解析 FTP 协议中的 PORT/PASV 命令,导致动态端口协商失败。
二、具体解决步骤
1. 配置完整的 NAT 映射(含反射规则)
公网→内网映射:进入深信服 NSF 管理界面 →「网络」→「NAT」→「端口映射」
规则 1:公网 IP:21 → 内网 FTP 服务器 IP:21(TCP)
规则 2:公网 IP: 被动端口范围(如 50000-50100)→ 内网 FTP 服务器 IP: 相同范围(TCP)
启用 NAT 反射:在端口映射规则中,找到 “启用 NAT 反射” 或 “支持内网访问公网地址” 选项并勾选(深信服部分型号称为 “Hairpin 模式”),确保内网用户通过公网 IP / 域名访问时能正确转换。
2. 严格配置 FTP 服务器的被动端口范围
登录 FTP 服务器(以 Windows Server 为例):打开「Internet 信息服务 (IIS) 管理器」→ 选中 FTP 站点 →「FTP 防火墙支持」
输入被动端口范围(如 50000-50100)
输入公网 IP(深信服 NSF 的公网 IP),确保服务器告知客户端的是公网 IP 而非内网 IP
若为 Linux 服务器(如 vsftpd),修改配置文件:
ini
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50100
pasv_address=公网IP  # 关键:指定公网IP而非内网IP
3. 正确启用深信服的 FTP ALG 功能
进入「防火墙」→「高级设置」→「应用层网关」
确保 “FTP ALG” 已启用(勾选状态),并配置为 “支持被动模式”
关联 FTP 服务:在服务对象中,将 FTP 服务(含 21 端口)与 ALG 绑定
4. 检查出站 NAT 配置
深信服 NSF 可能需要配置 “源 NAT”,确保 FTP 服务器的响应流量能正确转换为防火墙公网 IP:
进入「NAT」→「源 NAT」→ 添加规则:
源地址:内网 FTP 服务器 IP
转换后地址:防火墙公网 IP
服务:FTP(21)及被动端口范围
三、验证与排查
测试工具:使用 FileZilla 客户端,开启 “详细日志”(编辑→设置→日志),观察连接过程:
若显示 “227 Entering Passive Mode (公网 IP, 端口)” 但后续超时,说明端口映射或 ALG 问题
若显示 “无法解析主机地址”,检查 DNS 解析是否指向正确的公网 IP
防火墙日志检查:深信服 NSF →「日志中心」→「流量日志」,过滤公网 IP 和 21 端口:
若有 “拒绝” 记录,补充对应端口的允许策略
若无记录,说明 NAT 映射未生效,需重新配置
通过以上步骤,重点解决 “公网 IP→内网服务器” 的 NAT 转换完整性和 FTP 被动模式的动态端口协商问题,即可复现飞塔防火墙的正常访问效果
旭阳 发表于 2025-9-25 16:26
  
可以将目的地址转化策略改为双向地址转换试试
发表新帖 收藏 回复本帖
分享

等我来答:

换一批

发表新帖
作者其他文章
从飞塔防火墙割接到深信服防火墙后,从外网访问位于DMZ的we
热门标签
全部标签>
2025年技术争霸赛
每日一问
信服课堂视频
新版本体验
GIF动图学习
标准化排查
纪元平台
产品连连看
社区新周刊
安全效果
安装部署配置
迁移
高手请过招
功能体验
功能咨询
玩转零信任
华北区交付直播
【 社区to talk】
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
排障笔记本
产品预警公告
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
2023技术争霸赛专题
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
技术晨报
平台使用
技术盲盒
山东区技术晨报
文档捉虫
齐鲁TV
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
西北区每日一问
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力
专家说
热门活动
产品动态
行业实践
产品解析
关键解决方案
转盘
任务
商城
勋章
成长计划

本版版主

魏溢森
33
42
46

发帖

粉丝

关注

zhangminlin
0
3
1

发帖

粉丝

关注

本版热帖

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人