by mandy
11. May 2015 18:53
今天在設定IIS FTP的windows firewall的規則發現一個很弔詭的現象, 一般來說,安裝完成後預設會開啟三條windows firewall規則: 990 port for FTPS 1024-65535 port for Passive Mode 21 port for Control Channel 但是! 即使有預設開這三條規則,還是連不到!(有空會去google看看是為什麼XD) 所以要自己手動允許windows firewall rules,看需求是什麼 如果有用到FTPS就得開一條90port規則 如果client端有使用active mode連線,就得開一條規則 21 port (for control channel) 如果client端有使用passive mode連線,就得開兩條規則(目前大多使用被動模式連線) 1024-65535 port(for datat channel) 21 port (for control channel) ◎最後注意存取的user是否具有足夠的NTFS權限。
by mandy
8. May 2015 12:53
先進行一下題外話, 今天嘗試架設 FileZilla FTP server時, 發現連線主機的資訊有一個地方不知道要打什麼: 這個是FileZilla Server管理介面的密碼,目前登入可以不必填, 但建立連線後,可設定管理介面的密碼,讓FTP server安全性更高 (以後建立連線時就必須輸入正確的密碼): 另外,FTP分為兩種連線模式(這是以server的角度來看) 連線模式與Windows Firewall的設定有關: 主動模式 重點:client自動開1023↑隨機port號,並把自己的IP及port號資訊用PORT指令丟給server,讓server主動來連 以下是概念驗證: 左圖:client利用主動模式連server; 右圖:client建立連線後可以用netst -an來檢視是否是利用隨機port號來連線 client端以cmd內的ftp.exe連線,預設就是主動模式。 ◎這邊要注意server於winfows firewall:port21還沒開啟時,會連不到: 出現timeout的訊息: ◎當server開啟winfows firewall:port21後,即可連線: 被動模式 重點:client發出PASV指令,server開1023↑port號(看你要開多少,可以設定),等待client來連接Data Channel 以下是概念驗證: 左圖:client利用被動模式連server; 右圖:server建立連線後可以用netst -an來檢視是否是利用隨機port號來連線 當client端以IE或檔案總管開啟時,預設是被動模式。 可使用兩種方式開防火牆: 1. 允許FileZilla應用程式通過防火牆 2. server設定兩條防火牆規則 ◎21 port(這裡就不再贅述如何開21 port) ◎server開多少port給被動模式,防火牆就要開多少port:
by Eddie
24. November 2014 09:06
這幾天在朋友的FB看到一句話,心裡還蠻有感覺的
他說「企業的IT人員最終目標 : 最終讓自已沒有工作.什麼都要自動化」
這也是最近一直在研究的工作,透過指令減輕自己的負擔,讓大多數的工作可以優化。
防火牆一直是伺服器維運的重點,而Windows Firewall則會本篇說明的主要對象
1. 啟用目前以有的規則,以下面的指令為例,
會啟用「遠端桌面 – 使用者模式 (TCP-In)」這個防火牆規則,
並且設定只有「192.168.0.100」的IP才能連線。
不過要知道完整的防火牆顯示名稱才會設定成功。
由於防火牆規則很多,要記住全部的防火牆名稱不太可能,
所以建議可以以新建的規則來取代目前以存在的規則。
Set-NetFirewallRule -DisplayName "遠端桌面 – 使用者模式 (TCP-In)"
–RemoteAddress "192.168.0.100 " -Enabled True
2. 新增防火牆規則的語法如下
New-NetFireWallRule
–DisplayName ‘ Remote Desktop Service(TCP-In)’ :防火牆規則的顯示名稱
–direction Inbound :設定是在輸入或輸出規則
–Protocol TCP :設定通訊協定類型
–RemotePort 3389 :設定指定的Port
–RemoteAddress 192.168.0.100 :限定只能用特定IP連線
-Profile any (Private, Public, Domain) 選擇讓私人,公開或者網域的連線可以套用這個規則,
或者設定Any讓全部的連線都可以使用。
-Progarm “應用程式路徑” 限定只能用特定應用程式才能使用這個Port。
優點是可以不用記住目前在Windows 防火牆中的規則名稱,
可以自訂服務內容,缺點是需要輸入較多的設定。
參考網頁:http://technet.microsoft.com/zh-tw/LIBRARY/jj554908.aspx
:http://technet.microsoft.com/zh-tw/LIBRARY/jj573834.aspx