今天在設定IIS FTP的windows firewall的規則發現一個很弔詭的現象， 一般來說，安裝完成後預設會開啟三條windows firewall規則： 990 port for FTPS 1024-65535 port for Passive Mode 21 port for Control Channel 但是！ 即使有預設開這三條規則，還是連不到！(有空會去google看看是為什麼XD) 所以要自己手動允許windows firewall rules，看需求是什麼 如果有用到FTPS就得開一條90port規則 如果client端有使用active mode連線，就得開一條規則 21 port (for control channel) 如果client端有使用passive mode連線，就得開兩條規則(目前大多使用被動模式連線) 1024-65535 port(for datat channel) 21 port (for control channel) ◎最後注意存取的user是否具有足夠的NTFS權限。

先進行一下題外話， 今天嘗試架設 FileZilla FTP server時， 發現連線主機的資訊有一個地方不知道要打什麼： 這個是FileZilla Server管理介面的密碼，目前登入可以不必填， 但建立連線後，可設定管理介面的密碼，讓FTP server安全性更高 (以後建立連線時就必須輸入正確的密碼)：   另外，FTP分為兩種連線模式(這是以server的角度來看) 連線模式與Windows Firewall的設定有關： 主動模式 重點：client自動開1023↑隨機port號，並把自己的IP及port號資訊用PORT指令丟給server，讓server主動來連 以下是概念驗證： 左圖：client利用主動模式連server； 右圖：client建立連線後可以用netst -an來檢視是否是利用隨機port號來連線    client端以cmd內的ftp.exe連線，預設就是主動模式。 ◎這邊要注意server於winfows firewall：port21還沒開啟時，會連不到： 出現timeout的訊息： ◎當server開啟winfows firewall：port21後，即可連線： 被動模式 重點：client發出PASV指令，server開1023↑port號(看你要開多少，可以設定)，等待client來連接Data Channel 以下是概念驗證： 左圖：client利用被動模式連server； 右圖：server建立連線後可以用netst -an來檢視是否是利用隨機port號來連線  當client端以IE或檔案總管開啟時，預設是被動模式。 可使用兩種方式開防火牆： 1.  允許FileZilla應用程式通過防火牆 2. server設定兩條防火牆規則      ◎21 port(這裡就不再贅述如何開21 port)      ◎server開多少port給被動模式，防火牆就要開多少port：

這幾天在朋友的FB看到一句話，心裡還蠻有感覺的 他說「企業的IT人員最終目標 : 最終讓自已沒有工作.什麼都要自動化」 這也是最近一直在研究的工作，透過指令減輕自己的負擔，讓大多數的工作可以優化。 防火牆一直是伺服器維運的重點，而Windows Firewall則會本篇說明的主要對象       1. 啟用目前以有的規則，以下面的指令為例，     會啟用「遠端桌面 – 使用者模式 (TCP-In)」這個防火牆規則，     並且設定只有「192.168.0.100」的IP才能連線。     不過要知道完整的防火牆顯示名稱才會設定成功。     由於防火牆規則很多，要記住全部的防火牆名稱不太可能，     所以建議可以以新建的規則來取代目前以存在的規則。       Set-NetFirewallRule -DisplayName "遠端桌面 – 使用者模式 (TCP-In)"     –RemoteAddress "192.168.0.100 " -Enabled True           2. 新增防火牆規則的語法如下     New-NetFireWallRule     –DisplayName ‘ Remote Desktop Service(TCP-In)’ ：防火牆規則的顯示名稱     –direction Inbound ：設定是在輸入或輸出規則     –Protocol TCP ：設定通訊協定類型     –RemotePort 3389 ：設定指定的Port     –RemoteAddress 192.168.0.100 ：限定只能用特定IP連線      -Profile any (Private, Public, Domain) 選擇讓私人，公開或者網域的連線可以套用這個規則，                                                                                    或者設定Any讓全部的連線都可以使用。       -Progarm “應用程式路徑” 限定只能用特定應用程式才能使用這個Port。       優點是可以不用記住目前在Windows 防火牆中的規則名稱，     可以自訂服務內容，缺點是需要輸入較多的設定。 參考網頁：http://technet.microsoft.com/zh-tw/LIBRARY/jj554908.aspx                  ：http://technet.microsoft.com/zh-tw/LIBRARY/jj573834.aspx