ASA 9.x : Configurez les services FTP/TFTP · Client FTP du scénario 2. configuré pour le mode passif Diagramme du réseau Client FTP du scénario 3. configuré pour le mode actif

ASA 9.x : Configurez les services FTP/TFTP Contenu

IntroductionConditions préalablesConditions requisesComposants utilisésInformations généralesPrendre en charge le Protocole avancéConfiguration Client FTP du scénario 1. configuré pour le mode actifDiagramme du réseauClient FTP du scénario 2. configuré pour le mode passifDiagramme du réseauClient FTP du scénario 3. configuré pour le mode actifDiagramme du réseauClient FTP du scénario 4. exécutant le mode passifDiagramme du réseauConfigurez l'inspection de base de l'application FTPConfigurez l'inspection de Protocol de FTP sur le port TCP non standardVérifierTFTPConfigurez l'inspection de base de l'application TFTPDiagramme du réseauVérifierDépannerDe client réseau d'intérieur dedansClient dans le réseau extérieur

Introduction

Ce document décrit le différent FTP et les scénarios d'inspection TFTP là-dessus l'appliance desécurité adaptable (ASA) et couvre également la configuration d'inspection ASA FTP/TFTP et ledépannage de base.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Transmission de base entre les interfaces requises●

Configuration du ftp server situé dans le réseau DMZ●

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et delogiciel suivantes :

Gamme 5500-X ASA ASA 5500 ou ASA qui exécute 9.1(5) l'image logicielle●

Tout ftp server●

Tout client FTP●

Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ontdémarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Le dispositif de sécurité prend en charge l'inspection d'application via la fonction d'algorithme desécurité adaptatif. Par l'inspection d'application avec état utilisée par l'algorithme de sécuritéadaptatif, le dispositif de sécurité suit chaque connexion qui traverse le pare-feu et s'assure qu'elleest valide. Le pare-feu, par l'inspection avec état, surveille également l'état de la connexion pourcompiler des informations à placer dans une table des états. Avec l'utilisation de la table des étatsen plus des règles définies par l'administrateur, les décisions de filtrage sont basées sur lecontexte qui est établi par les paquets qui sont précédemment passés à travers le pare-feu.

La mise en œuvre des inspections d'application consiste en ces actions :

Identifiez le trafic●

Appliquez-vous les inspections au trafic●

Lancez les inspections sur une interface●

Il y a deux formes de FTP suivant les indications de l'image.

Mode actif●

Mode passif●

FTP actif

En mode actif FTP, le client se connecte d'un port non privilégié aléatoire (N>1023) au port decommande (21) du serveur FTP. Puis les débuts de client à écouter pour mettre encommunication N>1023 et envoie le port N>1023 de commande de FTP au ftp server. Le serveurse connecte alors à nouveau aux ports spécifiés de données du client à partir de son port local dedonnées, qui est le port 20.

FTP passif

En mode de FTP passif, le client lance les deux connexions au serveur, ce qui résout le problèmed'un Pare-feu qui filtre la connexion du port de données entrantes au client à partir du serveur.Quand une connexion FTP est ouverte, le client ouvre deux ports non privilégiés aléatoireslocalement. Le premier port contacte le serveur sur le port 21. Mais au lieu d'exécuter unecommande de port et de permettre au serveur pour se connecter de nouveau à ses donnéesmettez en communication, le client émet la commande PASV. Ceci fait que le serveur ouvre alorsun port non privilégié aléatoire (P>1023) et renvoie la commande du port P au client. Le clientinitie alors la connexion du port N>1023 pour mettre en communication P sur le serveur pourtransférer des données. Sans la configuration de la commande d'inspection sur l'Appliance desécurité, le FTP à partir des utilisateurs internes dirigés vers l'extérieur fonctionne seulement enmode passif. En outre, l'accès est refusé aux utilisateurs dirigés en entrée vers votre serveur FTP.

TFTP

Le TFTP, comme décrit dans RFC 1350, est un protocole de routage simple pour lire et écrire desfichiers entre un serveur TFTP et un client. Le TFTP utilise le port UDP 69.

Prendre en charge le Protocole avancé

http://www.ietf.org/rfc/rfc1350.txt?number=1350

Pourquoi avez-vous besoin de l'inspection de FTP ?

Certaines applications requièrent une prise en charge spéciale par la fonction d'inspections del'Appliance de sécurité Cisco. Ces types d'applications incluent habituellement les informationsd'adressage IP dans le paquet de données utilisateur ou les canaux auxiliaires ouverts sur lesports dynamiquement attribués. Les travaux de fonction d'inspection d'application avec leTraduction d'adresses de réseau (NAT) afin d'aider à identifier l'emplacement des informationsd'adressage incluses.

En plus de l'identification des informations d'adressage incluses, les sessions de moniteurs defonction d'inspection d'application afin de déterminer les numéros de port pour des canauxauxiliaires. Plusieurs protocoles de routage ouvrent les ports auxiliaires TCP ou UDP pouraméliorer des performances. La session initiale sur un port connu est utilisée pour négocier lesnuméros de port dynamiquement attribués.

La fonction d'inspection d'application contrôle ces sessions, identifie les affectations des portsdynamiques et permet des échanges de données sur ces ports pour la durée des sessionsspécifiques. Les applications Multimédia et les applications FTP montrent ce genre decomportement.

Si l'inspection de FTP n'a pas été activée sur les dispositifs de sécurité, cette demande est jetéeet les sessions de FTP ne transmettent aucune donnée demandée.

Si l'inspection de FTP est activée sur l'ASA, alors l'ASA surveille le canal de contrôle et les essaispour identifier une demande d'ouvrir la voie de transmission de données. Le protocole FTP inclutles caractéristiques de port du canal de données dans le trafic du canal de contrôle, endemandant à l'Appliance de sécurité d'inspecter le canal de contrôle pour des modifications duport de données

Une fois que l'ASA identifie une demande, elle crée temporairement une ouverture pour le traficde donnée-canal qui dure la vie de la session. De cette façon, la fonction d'inspection de FTPcontrôle le canal de contrôle, identifie une affectation du port de données et permet aux donnéesd'être échangées sur le port de données pour la durée de la session.

L'ASA examine des connexions du port 21 pour assurer le trafic FTP par défaut par le class-mapde global-inspection. L'Appliance de sécurité identifie également la différence entre une sessionFTP active et une session FTP passive.

Si les sessions de FTP prennent en charge le transfert des données de FTP passif, l'ASA par lacommande de FTP d'examiner, identifie la demande de port de données de l'utilisateur et ouvreun nouveau port de données plus grand que 1023.

L'inspection de commande de FTP d'examiner examine des sessions de FTP et effectue quatretâches :

Prépare une connexion de données secondaire dynamique●

Suit la séquence des commandes-réponses de FTP●

Génère une vérification rétrospective●

Traduit l'adresse IP incluse en utilisant NAT●

L'inspection d'application FTP prépare des canaux auxiliaires pour le transfert des données de

FTP. Les canaux sont alloués en réponse au téléchargement d'un fichier, ou à un événementd'énumération du répertoire et ils doivent être les pré-négociés. Le port est négocié par lescommandes (227) PORT ou PASV (.

Configuration

Note: Tous les scénarios de réseau sont expliqués avec l'inspection de FTP activée surl'ASA.

Client FTP du scénario 1. configuré pour le mode actif

Client connecté au réseau intérieur de l'ASA et du serveur dans le réseau extérieur.

Diagramme du réseau

Note: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalementroutables sur Internet.

Suivant les indications de cette image, la configuration réseau utilisée a l'ASA avec le client dansle réseau intérieur avec IP 172.16.1.5. Le serveur est dans le réseau extérieur avec IP192.168.1.15. Le client a un IP tracé 192.168.1.5 dans le réseau extérieur.

Il n'y a aucun besoin de permettre n'importe quelle liste d'accès sur l'interface extérieure carl'inspection de FTP ouvre le Port canalisé dynamique.

Exemple de configuration :

ASA Version 9.1(5)

!

hostname ASA

domain-name corp.com

enable password WwXYvtKrnjXqGbu1 encrypted

names

!

interface GigabitEthernet0/0

nameif Outside

security-level 0

ip address 192.168.1.2 255.255.255.0

!


nameif Inside

security-level 50

ip address 172.16.1.12 255.255.255.0

!


shutdown

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

management-only

shutdown

no nameif

no security-level

no ip address

!--- Output is suppressed. !--- Object groups is created to define the host.

object network obj-172.16.1.5

subnet 172.16.1.0 255.255.255.0

!--- Object NAT is created to map Inside Client to Outside subnet IP.


nat (Inside,Outside) dynamic 192.168.1.5

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

!--- This command tells the device to

!--- use the "global_policy" policy-map on all interfaces.

service-policy global_policy global

prompt hostname context

Cryptochecksum:4b2f54134e685d11b274ee159e5ed009

: end

ASA(config)#

Vérifiez

Connexion

Client in Inside Network running ACTIVE FTP:

Ciscoasa(config)# sh conn

3 in use, 3 most used

TCP Outside 192.168.1.15:20 inside 172.16.1.5:61855, idle 0:00:00, bytes 145096704, flags UIB <-

-- Dynamic Connection Opened

TCP Outside 192.168.1.15:21 inside 172.16.1.5:61854, idle 0:00:00, bytes 434, flags UIO

Ici l'intérieur de client dedans initie la connexion avec le port 61854 de source à la destination port21. Le client envoie alors la commande de port avec la valeur de 6 tuples. Le serveur initieconsécutivement le secondaire/connexion de données avec le port de source de 20 et ladestination port est calculée à partir des étapes mentionnées après ces captures.

Interface interne de capture suivant les indications de cette image.

Interface extérieure de capture suivant les indications de cette image.

La valeur de port est calculée utilisant dernier touple le deux sur six. Le tuple 4 gauche sontadresse IP et le touple 2 sont pour le port. Suivant les indications de cette image, l'adresse IP est192.168.1.5 et 241*256 + 159 = 61855.

La capture prouve également que les valeurs avec des commandes de port sont changées quandl'inspection de FTP est activée. La capture d'interface interne affiche la valeur réelle de l'IP et duport envoyé par le client pour que le serveur se connecte au client pour l'adresse tracée parexpositions de capture de voie de transmission de données et d'interface d'extérieur.

Client FTP du scénario 2. configuré pour le mode passif

De client réseau d'intérieur dedans de l'ASA et du serveur dans le réseau extérieur.


Connexion

Client in Inside Network running Passive Mode FTP:

ciscoasa(config)# sh conn


TCP Outside 192.168.1.15:60142 inside 172.16.1.5:61839, idle 0:00:00, bytes 184844288, flags UI

<--- Dynamic Connection Opened.


Ici l'intérieur de client dedans initie une connexion avec le port 61838 de source la destination portde 21. Car c'est un FTP passif, le client initie les les deux les connexions. Par conséquent, aprèsque le client envoie la commande PASV, les réponses de serveur avec sa valeur et client de 6tuples se connecte à ce socket pour la connexion de données.

Interface interne de capture suivant les indications de cette image.


Le calcul pour les ports demeure le même.

Comme cité précédemment, l'ASA récrit les valeurs incluses IP si l'inspection de FTP est activée.En outre, il ouvre un Port canalisé dynamique pour la connexion de données.

Ce sont les détails de connexion si l'inspection de FTP est désactivée

Connexion :





Sans inspection de FTP, il essaye seulement d'envoyer la commande de port à plusieurs reprisesmais il n'y a aucune réponse car en dehors de reçoit le PORT avec IP pas NATTed un d'original.Même a été affiché dans le vidage mémoire.

L'inspection de FTP peut être désactivée sans la commande du FTP 21 de protocole de fixupdans le mode terminal de configuration.

Sans inspection de FTP, seulement la commande PASV fonctionne quand le client est dedansintérieur car il y a là n'est aucune commande de port étant livré de l'intérieur de ce qui doit êtreencastré et les les deux les connexions sont initiées de l'intérieur.

Client FTP du scénario 3. configuré pour le mode actif

Client dans le réseau extérieur de l'ASA et serveur dans le réseau DMZ.


Configuration :

ASA(config)#show running-config

ASA Version 9.1(5)

!

hostname ASA



names

!


nameif Outside

security-level 0

ip address 192.168.1.2 255.255.255.0

!


nameif DMZ

security-level 50

ip address 172.16.1.12 255.255.255.0

!


shutdown

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level

no ip address

!


management-only

shutdown

no nameif

no security-level

no ip address

!--- Output is suppressed.

!--- Permit inbound FTP control traffic.

access-list 100 extended permit tcp any host 192.168.1.5 eq ftp

!--- Object groups are created to define the hosts.


host 172.16.1.5

!--- Object NAT is created to map FTP server with IP of Outside Subnet.


nat (DMZ,Outside) static 192.168.1.5

access-group 100 in interface outside

class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns

preset_dns_map parameters message-length maximum 512 policy-map global_policy



inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!






: end

ASA(config)#

Vérifiez

Connexion :

Client in Outside Network running in Active Mode FTP:



TCP outside 192.168.1.15:55836 DMZ 172.16.1.5:21, idle 0:00:00, bytes 470, flags UIOB

TCP outside 192.168.1.15:55837 DMZ 172.16.1.5:20, idle 0:00:00, bytes 225595694, flags UI <---

Dynamic Port channel

Interface de la capture DMZ suivant les indications de cette image.


Ici, le client est client 192.168.1.15 de mode actif de passages et initie la connexion au serveurdans DMZ sur le port 21. Le client envoie alors la commande de port avec six valeurs de tuple auserveur de se connecter à ce port dynamique spécifique. Le serveur initie alors la connexion dedonnées avec le port de source en tant que 20.

Client FTP du scénario 4. exécutant le mode passif

Client dans le réseau extérieur de l'ASA et serveur dans le réseau DMZ.


Connexion

Client in Outside Network running in Passive Mode FTP:



TCP Outside 192.168.1.15:60071 DMZ 172.16.1.5:61781, idle 0:00:00, bytes 184718032, flags UOB <-

-- Dynamic channel Open

TCP Outside 192.168.1.15:60070 DMZ 172.16.1.5:21, idle 0:00:00, bytes 413,

flags UIOB

Interface de la capture DMZ suivant les indications de cette image.


Configurez l'inspection de base de l'application FTP

Par défaut, la configuration inclut une stratégie qui correspond à tout le trafic de l'inspectiond'application par défaut et applique une inspection au trafic sur toutes les interfaces (une stratégieglobale). Le trafic de l'inspection d'application par défaut inclut le trafic vers les ports par défautpour chaque protocole.

Vous pouvez seulement appliquer une stratégie globale, ainsi si vous voulez modifier la stratégieglobale, par exemple, pour appliquer l'inspection aux ports non standard, ou pour ajouter desinspections qui ne sont pas activées par défaut, vous devez soit modifier la stratégie par défautsoit la désactiver et en appliquer une nouvelle. Pour une liste de tous les ports par défaut, référez-vous à la Stratégie d'inspection par défaut.

Exécutez la commande de global_policy de policy-map. ASA(config)#policy-map global_policy

1.

Exécutez la commande d'inspection_default de classe. ASA(config-pmap)#class inspection_default

2.

Exécutez la commande de FTP d'examiner. ASA(config-pmap-c)#inspect FTP

3.

Il y a une option d'utilisation de la commande inspect FTP strict. Cette commande augmentela sécurité des réseaux protégés en empêchant un navigateur Web d'envoyer descommandes incluses dans les requêtes FTP. Après que vous activez l'option strict sur uneinterface, l'inspection de FTP impose ce comportement:Une commande de FTP doit êtrereconnue avant que les dispositifs de sécurité permettent une nouvelle commandeLesdispositifs de sécurité relâchent une connexion qui envoie des commandes inclusesLes 227et les commandes de PORT sont vérifiés de s'assurer qu'ils n'apparaissent pas dans unechaîne d'erreurAvertissement : L'utilisation de l'option strict pourrait entraîner l'échec desclients FTP qui ne sont pas strictement conformes avec les RFCs de FTP. Consultez Utiliserl'option stricte pour plus d'informations sur l'utilisation de l'option stricte.

4.

Configurez l'inspection de Protocol de FTP sur le port TCP non standard

Vous pouvez configurer l'inspection de Protocol de FTP pour les ports TCP non standard avec ceslignes de configuration (remplacez par le nouveau numéro de port) :

access-list ftp-list extended permit tcp any any eq XXXX

!

class-map ftp-class

match access-list ftp-list

!


class ftp-class

inspect ftp

Vérifiez

Afin de s'assurer que la configuration a avec succès pris, exécutez la commande de show service-policy. En outre, limitez la sortie à l'inspection de FTP en exécutant le show service-policyexaminent la commande de FTP.

ASA#show service-policy inspect ftp

Global Policy:

Service-policy: global_policy

Class-map: inspection_default

Inspect: ftp, packet 0, drop 0, reste-drop 0

ASA#

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/inspect_overview.html#wp1536127

http://www.cisco.com/en/US/docs/security/asa/asa83/command/reference/p.html#wp1931416

http://www.cisco.com/en/US/docs/security/asa/asa83/command/reference/c1.html#wp2159579

http://www.cisco.com/en/US/docs/security/asa/asa83/command/reference/i2.html#wp1764962




http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/inspect_basic.html#wp1948141

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/inspect_basic.html#wp1948141

http://www.cisco.com/en/US/docs/security/asa/asa83/command/reference/s7.html#wp1340205



TFTP

L'inspection TFTP est activée par défaut.

L'Appliance de sécurité inspecte le trafic TFTP et crée dynamiquement des connexions et desroutages de traduction s'il y a lieu, pour permettre le transfert de fichiers entre un client TFTP et leserveur. En particulier, le moteur d'inspection inspecte les requêtes lues TFTP (RRQ), écrit desrequêtes de routage (WRQ) et les notifications d'erreur (ERREUR).

Un canal auxiliaire dynamique et une traduction PAT s'il y a lieu, sont alloués sur une réceptiond'un RRQ ou d'un WRQ valide. Ce canal auxiliaire est ultérieurement utilisé par TFTP pour letransfert de fichiers ou la notification d'erreur.

Seul le serveur TFTP peut lancer le trafic de routage au-dessus du canal auxiliaire, et tout au plusun canal auxiliaire inachevé peut exister entre le client TFTP et le serveur. Une notificationd'erreur du serveur ferme le canal auxiliaire.

L'inspection TFTP doit être activée si PAT fstatic est utilisé pour réorienter le trafic TFTP.

Configurez l'inspection de base de l'application TFTP

Par défaut, la configuration inclut une stratégie qui correspond à tout le trafic de l'inspectiond'application par défaut et applique une inspection au trafic sur toutes les interfaces (une stratégieglobale). Le trafic de l'inspection d'application par défaut inclut le trafic vers les ports par défautpour chaque protocole.

Vous ne pouvez appliquer qu'une seule stratégie globale. Par conséquent, si vous voulez modifierla stratégie globale, par exemple, pour appliquer l'inspection à des ports non standard, ou pourajouter des inspections qui ne sont pas activées par défaut, vous devez soit modifier la stratégiepar défaut, soit la désactiver et en appliquer une nouvelle. Pour une liste de tous les ports pardéfaut, référez-vous à la Stratégie d'inspection par défaut.

Exécutez la commande de global_policy de policy-map. ASA(config)#policy-map global_policy

1.

Exécutez la commande d'inspection_default de classe. ASA(config-pmap)#class inspection_default

2.

Exécutez la commande de l'examiner TFTP. ASA(config-pmap-c)#inspect TFTP

3.


http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/inspect_overview.html#wp1536127

http://www.cisco.com/en/US/docs/security/asa/asa83/command/reference/p.html#wp1931416

http://www.cisco.com/en/US/docs/security/asa/asa83/command/reference/c1.html#wp2159579


Ici le client dedans configuré dans le réseau extérieur. Le serveur TFTP est placé dans le réseauDMZ. Le serveur est tracé à l'IP 192.168.1.5 qui est dans le sous-réseau extérieur.

Exemple de configuration :

ASA(config)#show running-config

ASA Version 9.1(5)

!

hostname ASA



names

!


nameif Outside

security-level 0

ip address 192.168.1.2 255.255.255.0

!


nameif DMZ

security-level 50

ip address 172.16.1.12 255.255.255.0

!


shutdown

no nameif

security-level 100

ip address 10.1.1.1 255.255.255.0

!


shutdown

no nameif

no security-level

no ip address

!


management-only

shutdown

no nameif

no security-level

no ip address

!--- Output is suppressed. !--- Permit inbound TFTP traffic. access-list 100 extended permit udp

any host 192.168.1.5 eq tftp

!

!--- Object groups are created to define the hosts.


host 172.16.1.5

!--- Object NAT to map TFTP server to IP in Outside Subnet.


nat (DMZ,Outside) static 192.168.1.5

access-group 100 in interface outside



!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512




inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!






: end

ASA(config)#

Vérifiez

Afin d'assurer la configuration a avec succès pris, exécute la commande de show service-policy.En outre, limitez la sortie à l'inspection TFTP seulement en exécutant le show service-policyexaminent la commande de tftp.

ASA#show service-policy inspect tftp

Global Policy:




Service-policy: global_policy

Class-map: inspection_default

Inspect: tftp, packet 0, drop 0, reste-drop 0

ASA#

Dépanner

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Packet Tracer

De client réseau d'intérieur dedans

FTP client Inside - Packet Tracer for Control Connection : Same Flow for Active and Passive.

# packet-tracer input inside tcp 172.16.1.5 12345 192.168.1.15 21 det

-----Omitted------

Phase: 5

Type: INSPECT

Subtype: inspect-ftp

Result: ALLOW

Config:





inspect ftp


Additional Information:

Forward Flow based lookup yields rule:

in id=0x76d9a120, priority=70, domain=inspect-ftp, deny=false

hits=2, user_data=0x76d99a30, cs_id=0x0, use_real_addr, flags=0x0, protocol=6

src ip/id=0.0.0.0, mask=0.0.0.0, port=0

dst ip/id=0.0.0.0, mask=0.0.0.0, port=21, dscp=0x0

input_ifc=inside, output_ifc=any

Phase: 6

Type: NAT

Subtype:

Result: ALLOW

Config:


nat (inside,outside) static 192.168.1.5


NAT divert to egress interface DMZ

translate 172.16.1.5/21 to 192.168.1.5/21

Phase: 7

Type: NAT

Subtype: rpf-check

Result: ALLOW

Config:


nat (inside,outside) static 192.168.1.5



out id=0x76d6e308, priority=6, domain=nat-reverse, deny=false

hits=15, user_data=0x76d9ef70, cs_id=0x0, use_real_addr, flags=0x0, protocol=0



input_ifc=inside, output_ifc=outside

----Omitted----

Result:

input-interface: inside

input-status: up

input-line-status: up

output-interface: Outside

output-status: up

output-line-status: up

Action: allow

Client dans le réseau extérieur

FTP client Outside - Packet Tracer for Control Connection : Same Flow for Active and Passive

# packet-tracer input outside tcp 192.168.1.15 12345 192.168.1.5 21 det

Phase: 1

Type: UN-NAT

Subtype: static

Result: ALLOW

Config:


nat (DMZ,outside) static 192.168.1.5


NAT divert to egress interface DMZ

Untranslate 192.168.1.5/21 to 172.16.1.5/21

-----Omitted-----

Phase: 4

Type: INSPECT

Subtype: inspect-ftp

Result: ALLOW

Config:





inspect ftp




in id=0x76d84700, priority=70, domain=inspect-ftp, deny=false

hits=17, user_data=0x76d84550, cs_id=0x0, use_real_addr, flags=0x0, protocol=6



input_ifc=outside, output_ifc=any

Phase: 5

Type: NAT

Subtype: rpf-check

Result: ALLOW

Config:


nat (DMZ,outside) static 192.168.1.5



out id=0x76d6e308, priority=6, domain=nat-reverse, deny=false

hits=17, user_data=0x76d9ef70, cs_id=0x0, use_real_addr, flags=0x0, protocol=0



input_ifc=outside, output_ifc=DMZ

----Omitted-----

Result:

input-interface: Outside

input-status: up

input-line-status: up

output-interface: DMZ

output-status: up

output-line-status: up

Action: allow

Comme vu dans les les deux les traceurs de paquets, le trafic frappe leur stratégie NAT respectivede déclarations et d'inspection de FTP. Ils laissent également leurs interfaces priées.

Pendant le dépannage, vous pouvez essayer de capturer le d'entrée ASA et les interfaces desortie et voir si l'ASA incluait la réécriture d'adresse IP fonctionne bien et vérifier la connexion sion permet le port dynamique sur l'ASA.

Documents

ASA 9.x : Configurez les services FTP/TFTP · Client FTP du scénario 2. configuré pour le mode passif Diagramme du réseau Client FTP du scénario 3. configuré pour le mode actif