Utilização de Números de Porta FTP Não-Padrão com NAT

Opções de download

  • PDF     (182.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (95.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (89.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de agosto de 2005
ID do documento:13776

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

As versões 11.2(13) e 11.3(3) do software Cisco IOS® introduziram a funcionalidade NAT (Conversão de endereço de rede) para suportar um número não padrão de portas FTP (Protocolo de transferência de arquivos). Em versões mais antigas do software Cisco IOS, quando um roteador habilitado para NAT recebe um pacote com endereço IP que precisa ser traduzido em NAT e o número da porta TCP padrão está para a conexão de controle de FTP (21), o roteador reconhece o pacote como um pacote de FTP e faz a tradução necessária no payload (parte de dados) do pacote. No entanto, se o servidor FTP estiver usando um número de porta de FTP não padrão, o NAT ignorará o payload do pacote. Isso pode impedir que conexões de dados FTP sejam estabelecidas.

Para suportar o uso de números de porta FTP não padrão, você deve usar o comando ip nat service. Esta tabela descreve as opções disponíveis neste comando:

Opção Definição
lista Especifique a lista de acesso que descreve endereços globais.
nome Nome da lista de acesso para o endereço local do servidor.
número Número da lista de acesso para endereços globais.
ftp Protocolo FTP.
tcp Protocolo TCP
porta Porta especial não padrão.
número da porta Número de portas especiais fora do padrão.

Esta é uma sintaxe de exemplo: 

router-6(config)#ip nat service list 10 ftp tcp port 2021

Algumas coisas importantes a serem observadas:

  • O endereço da lista de acesso no comando acima deve corresponder ao endereço IP local interno para o servidor FTP com a porta de controle FTP não-padrão.

  • Se uma porta de controle de FTP não-padrão for configurada para um servidor de FTP, o NAT pára de verificar as conexões de controle de FTP que estão utilizando a porta 21 para aquele servidor FTP. Todos os outros servidores FTP continuam a funcionar normalmente.

  • Um host com um servidor de FTP utilizando uma porta de controle não padrão também pode ter um cliente de FTP utilizando a porta de controle de FTP padrão (21).

  • Se um servidor FTP usar a porta 21 e uma porta não padrão, você precisará configurar ambas as portas usando o comando ip nat service list <acl> ftp tcp <port>. Por exemplo: 

    ip nat service list 10 ftp tcp port 2021
ip nat service list 10 ftp tcp port 21

    Entretanto, não é possível configurar diversas listas de acesso para a mesma porta e o mesmo serviço. Por exemplo: 

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
router-6(config)#ip nat service list 10 ftp tcp port 2021
% service "ftp tcp port 2021" is already configured for access-list 17

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Software Cisco IOS versões 11.2(13), 11.3(3) e posteriores

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurações de exemplo

Em cada um dos exemplos abaixo, os fluxos que a NAT processa como conexões de controle de FTP são descritos em uma tabela que vem depois das configurações. Em cada tabela, "qualquer endereço local" refere-se a qualquer endereço que não seja igual a 10.1.1.1.

Exemplo de configuração 1

Suponha que esses servidores FTP estejam sendo executados em sua rede local:

  • Um servidor FTP com endereço IP 10.1.1.1 em execução no número de porta TCP 2021.

  • Servidores FTP adicionais com endereço IP "any" (diferente de 10.1.1.1) na porta TCP número 21. 

    ip nat service list 10 ftp tcp port 2021 
access-list 10 permit 10.1.1.1
Endereço de origem Porta TCP de origem Endereço de destino Porta TCP de destino
qualquer endereço local qualquer porta 10.1.1.1 2021
qualquer endereço local qualquer porta qualquer endereço local (consulte a nota) 21
10.1.1.1 qualquer porta qualquer endereço local (consulte a nota) 21

Observação: qualquer endereço local não é igual a 10.1.1.1.

Esta lista descreve o processo NAT detalhado na tabela anterior:

  • Primeira linha: Um pacote com qualquer endereço de origem e qualquer número de porta destinado ao servidor FTP (10.1.1.1) com número de porta TCP de destino 2021 precisa ter a tradução NAT necessária do payload.

  • Segunda linha: Um pacote com qualquer endereço de origem e qualquer número de porta destinado a qualquer endereço local (diferente de 10.1.1.1) com número de porta TCP de destino 21 (porta de controle FTP típica) precisa ter a tradução NAT necessária do payload. Portanto, permitindo que todos os servidores FTP (diferentes de 10.1.1.1) em execução na porta 21 típica tenham a tradução NAT necessária do payload.

  • Terceira linha: Um pacote originado de 10.1.1.1 com qualquer número de porta destinado a qualquer endereço local (diferente de 10.1.1.1) com a porta TCP destino 21 precisa ter a tradução NAT necessária do payload.

Exemplo de configuração 2

Suponha que esses servidores FTP estejam sendo executados em sua rede local:

  • Um servidor FTP com endereço IP 10.1.1.1 em execução nas portas TCP número 21 e 2021.

  • Alguns servidores FTP com endereço IP "any" (diferente de 10.1.1.1) na porta TCP número 21. 

    ip nat service list 10 ftp tcp port 21 
ip nat service list 10 ftp tcp port 2021 
access-list 10 permit 10.1.1.1
Endereço de origem Porta TCP de origem Endereço de destino Porta TCP de destino
qualquer endereço local qualquer porta 10.1.1.1 2021
qualquer endereço local qualquer porta 10.1.1.1 21
qualquer endereço local qualquer porta qualquer endereço local 21
qualquer endereço local qualquer porta qualquer endereço local 21

Esta lista descreve o processo NAT detalhado na tabela anterior:

  • Primeira linha: Um pacote com qualquer endereço de origem e qualquer número de porta destinado ao servidor FTP (10.1.1.1) com número de porta TCP de destino 2021 precisa ter a tradução NAT necessária do payload.

  • Segunda linha: Um pacote com qualquer endereço de origem e qualquer número de porta destinado ao servidor FTP (10.1.1.1) com número de porta TCP de destino 21 precisa ter a tradução NAT necessária do payload.

  • Terceira linha: Um pacote com qualquer endereço de origem e qualquer número de porta destinado a qualquer endereço local com número de porta TCP de destino 21 (porta de controle FTP típica) precisa ter a tradução NAT necessária do payload. Portanto, permitindo que todos os servidores FTP em execução na porta 21 típica tenham a tradução NAT necessária do payload.

  • Quarta linha: Um pacote originado de 10.1.1.1 com qualquer número de porta destinado a qualquer endereço local com porta TCP de destino 21 precisa ter a tradução NAT necessária do payload.

Exemplo de configuração 3

Suponha que esses servidores FTP estejam sendo executados em sua rede local:

  • Um servidor FTP com endereço IP 10.1.1.1 em execução na porta TCP número 21.

  • Servidores FTP com endereço IP 10.1.1.0/24 (diferente de 10.1.1.1) no número de porta TCP 2021. 

    ip nat service list 10 ftp tcp port 2021 
access-list 10 deny 10.1.1.1 
access-list 10 permit 10.1.1.0 0.0.0.255
Endereço de origem Porta TCP de origem Endereço de destino Porta TCP de destino
qualquer endereço local qualquer porta 10.1.1.1 21
qualquer endereço local qualquer porta 10.1.1.x (ver nota) 2021
10.1.1.x (ver nota) qualquer porta Qualquer endereço diferente de 10.1.1.x (consulte a nota) 21

Nota: 10.1.1.x não é igual a 10.1.1.1.

Esta lista descreve o processo NAT detalhado na tabela anterior:

  • Primeira linha: Um pacote com qualquer endereço de origem e qualquer número de porta destinado ao servidor FTP (10.1.1.1) com número de porta TCP de destino 21 precisa ter a tradução NAT necessária do payload.

    Observação: os pacotes destinados a 10.1.1.1 com a porta 2021 não têm conversão de payload NAT devido à instrução deny 10.1.1.1 na lista de acesso.

  • Segunda linha: Um pacote com qualquer endereço de origem e qualquer número de porta destinado a qualquer endereço local (diferente de 10.1.1.1) com número de porta TCP de destino 2021 precisa ter a tradução NAT necessária do payload.

  • Terceira linha: Um pacote originado de qualquer 10.1.1.x (consulte a observação abaixo da tabela acima) (diferente de 10.1.1.1) com qualquer número de porta destinado a qualquer endereço (diferente de 10.1.1.x) com a porta TCP destino 21 precisa ter a tradução NAT necessária do payload.

É importante lembrar quando uma porta de controle de FTP não padrão é configurada para um servidor FTP, o NAT interrompe as sessões de controle de FTP que estão usando a porta 21 para esse servidor específico. Se um servidor de FTP usar as portas padrão e não-padrão, você precisará configurar ambas as portas utilizando o comando ip nat service.

Exemplo de cenário e configuração

O servidor FTP 10.1.1.1 na porta TCP número 2021 está sendo executado na rede interna. O roteador NAT é configurado para permitir que o tráfego FTP seja NAT para conexões de controle na porta 2021.

Diagrama de Rede

6.gif

Configuração: 

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
10-Aug-2005
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco