PASV服务器放在ISA后面,其实就是要解决两个问题:
1、PASV的端口。我上面的方法提出使用secondary connection,但事实证明不对,应该每个PASV端口都建立一条primary connection,然后分别建立server publishing rules,有多少个PASV端口,就要建立多少条。这里还可以引出另一个话题,就是对Web publishing rules的运用,tony你应该知道,通过Web publishing rules也可以发布ftp服务器,但rule里面只给了一个ftp端口的选项,很明显,这是为PORT模式的FTP服务器准备的,因为PORT模式的数据连接是由服务器发起的,在服务器一边,不存在穿过防火墙的问题。
使用Web publishing rules还有一个很令人振奋的特性,就是支持动态公用IP用户,不需要象server publishing rules那样,每拨一次号都要修改一次外部地址。如果在Web publishing rules中也能搞定PASV问题,那么对于那些使用拨号上网而又想在内网发布PASV服务器的人来说,简直是天大的喜讯。
需要好好考虑的是如何通过那个只能填一个端口的选项来发布随机的PASV端口?我从今天的实验找到了一点灵感,就是也象上面说的那样,每个PASV端口都设置一条Web publishing rules!我还未做这个实验,还不能证实这样做行不行,相信晚上就会有结果了。
当然,还需要考虑如何控制PASV模式端口的范围,serv-u可以设定,而IIS的FTP不行。
2、是服务器向客户端传送IP的问题。当FTP客户端登录进入服务器的时候,PASV模式服务器会向客户端传送本机的IP地址和数据端口,当服务器放在内网中的时候,服务器会向客户端返回内网的IP,这当然是不能完成连接的,需要让服务器返回ISA的外网地址。本来,解决方法可以使用firwall client的application settings中的nameresolutionforlocalhost参数,设为P就可以让应用程序返回ISA的外网地址,但这个参数是供firewall client使用的,而发布服务器不能安装firewall client,这很可惜。
幸好,还是有一个好消息,就是serv-u本身具有返回ISA外网地址这样的功能,方法是先选中新建FTP服务器的属性,在domain标签里选择“enable dynamic dns”,此时会出现第二个标签,叫“dynamic dns”,然后到tz0.com申请动态域名,申请后会得到一个key,在此标签中填入此key即可。最后一步,是到新建服务器的settings属性中,选择advanced标签,选中“allow passive mode data transfer”,旁边的IP地址框留空。这个框对于拨号用户不用填,只有出口使用固定地址才需要填。
这样,serv-u向客户端返回IP和端口前,会先向tz0.com查询到ISA外网的地址,再发送给客户端。