IIS FTP сервер в passive mode за Cisco ASA

Сам сервис настраивается стандартно, только в разделе FTP Firewall Support рекомендую указать Port-range, т.к. по дефолту это 1024-65535, что совсем не безопасно. Я указал диапазон 49000-65535.

 

Далее настраиваем ASA.

Прописываем Object-ы и делаем nat, в моём случае object-nat:

object network FTP
host 10.10.10.77
!
object network FTP-outside
host 200.200.200.77
!
object network FTP
nat (INSIDE,OUTSIDE) static FTP-outside

Создаем сервис с Port-range и добавляем нужные правила в ACL на входящем интерфейсе. Мы открываем из интернета доступ по 20, 21 и 49000-65535 портам:

object-group service FTP-Passive tcp
port-object range 49000 65535
!
object-group service FOR-FTP-ACCESS tcp
port-object eq ftp
port-object eq ftp-data
group-object FTP-Passive
!
access-list OUTSIDE-IN extended permit tcp any object FTP object-group FOR-FTP-ACCESS

Немного лирики: при подключении в пассивном режиме FTP сервер будет отдавать клиенту свой IP адрес для дальнейшего обмена данными. Если прописать в FTP Firewall Support внешний адрес — он начнет отдавать внешний адрес и всё будет работать извне, но внутри локальной сети FTP работать не будет. Если не указать ничего — то будет использоваться внутренний адрес (что в binding) и извне попасть тоже будет невозможно.

Тут нам на помощь приходить инспектирование FTP трафика на Cisco ASA, достаточно прописать:

policy-map global_policy
class inspection_default
inspect ftp
!
service-policy global_policy global

и всё будет работать, ASA сама отдаст клиенту нужный адрес.

Таким образом FTP работает и из интернета, и внутри локальной сети.

0

IIS FTP сервер в passive mode за Cisco ASA: 1 комментарий

  1. 45454

    Но если есть уже политика global, то можно применить service-policy inspect ftp для интерфейса out.

    policy-map out-policy
    class out-class
    inspect ftp

    service-policy out-policy interface out

    У меня была global policy для sfr модуля .

    1+

Добавить комментарий

Ваш e-mail не будет опубликован.