Windows 自(zì)帶的防火(huǒ)牆沒有增加端口範圍的功能,這讓一些常見(jiàn)的配置變得(de)非常麻煩(比如(rú)FTP被動模式下,就(jiù)需要在防火(huǒ)牆上開啓端口範圍,如(rú)5000-6000,7100-7200這類),經過查詢資料,使用以下cmd批處理(lǐ)内容,即可(kě)增加端口範圍(用Windows 腳本編輯應該也能達到如(rú)下效果):
echo off
cls
set var=5000
:continue
set /a var+=1
echo add port %var%
netsh firewall add portopening TCP %var% ftp_data_%var%
if %var% lss 5100 goto continue
echo complete
pause
将以上内容,保存爲後綴名爲cmd或bat的文件(jiàn),執行即可(kě)将5000-5100範圍的端口增加到防火(huǒ)牆配置中。
另外,如(rú)果使用linux lftp批處理(lǐ)模式,爲了開啓lftp客戶端的被動轉輸,需要編輯文件(jiàn)~/.lftprc, 并增加以下配置:
set ftp:passive-mode on
PS:以上程序的執行需要管理(lǐ)員(yuán)權限
====================================================================================、
1、改默認端口
在IIS6管理(lǐ)器中,展開FTP站(zhàn)點,用鼠标右鍵單擊選擇“屬性”命令,然後在屬性對話(huà)框中修改TCP端口(默認是21)。
改默認端口後,如(rú)果啓用了TCP/IP篩選,則必須使用PASV模式訪問(wèn)FTP,爲了安全需要手動指定PASV的端口範圍。
在防火(huǒ)牆裡(lǐ)開放(fàng)以上端口。
2、修改IIS6下FTP服務器的PASV端口範圍
IIS6的FTP裡(lǐ)的PASV模式下默認端口範圍1024 - 65535,連接時會從(cóng)中随機選擇到響應。這樣的超大(dà)範圍就(jiù)給服務器安全帶來(lái)的隐患,雖然可(kě)以通過一些方法減少端口範圍,但(dàn)範圍都(dōu)不能縮小到理(lǐ)想的範圍内,正常情況下PASV的端口最多會使用到10個吧(ba),就(jiù)算是專門(mén)的FTP下載服務器最多20個也就(jiù)夠了。下面說(shuō)說(shuō)使用IIS管理(lǐ)實用程序Adsutil.vbs(C:\Inetpub\AdminScripts這個文件(jiàn)夾下面)修改FTP服務器的PASV端口的範圍:
一般要做些這些設置後才能使用Adsutil.vbs,如(rú)下圖
使用命令行根據順序執行
cd c:\Inetpub\AdminScripts
adsutil.vbs set /MSFTPSVC/PassivePortRange "10000-10009"
有可(kě)能有的服務器已經進行過安全配置,這樣直接執行會提示失敗信息,就(jiù)需要使用cscript了,使用管理(lǐ)員(yuán)用戶登陸,繼續命令行根據順序執行以下命令
cd c:\Inetpub\AdminScripts
cscript adsutil.vbs set /MSFTPSVC/PassivePortRange "10000-10009"
本例開放(fàng)指定的10個端口10000到10009
執行完畢後重新啓動 FTP 服務,如(rú)果啓動了防火(huǒ)牆,在防火(huǒ)牆中加這幾個端口的例外。
