俗话说“我为人人,人人为我”,很多网络用户在享受网络资源的同时,也想为同胞们做点贡献,将自己收藏的精品与大家分享,因此在家中架设起FTP服务器等,但接下来问题接踵而来,无法成功将FTP服务发布到互联网中。
通常情况下,用户只要在路由器(无线路由器)中映射网络服务使用的端口即可,如Web服务器默认使用的“80”端口,这样公网中其他朋友就能访问你提供的网络资源。
但FTP服务的发布却有特殊之处, FTP服务支持“PORT和PASV”两种连接模式,为了保证互联网中其他内网用户可以正常访问你的FTP服务器,一般都要支持PASV模式,这样一来,你在路由器上不光要映射“21”和“20”端口,还要映射FTP服务器传输数据时使用的大于1024的高端端口。手工映射这些高端端口是非常麻烦的,也是不明智的。
到底建立FTP连接时使用了服务器的哪个高端端口呢?用户并不清楚,幸好很多路由器都提供了“DMZ主机”功能,利用该功能可以让内网机器完全暴露到互联网中,这样无须进行端口映射,其他用户就可以访问你的FTP服务了。
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
下面就可以利用路由器的“DMZ主机”功能发布FTP服务。笔者就以D-Link的DI-504路由器为例加以介绍。
如上图所示,一个网络中,通过路由器的设置让在网段为192.168.0.100的机器启用ftp服务,架设一个FTP服务器。
在固定IP地址接入中在路由器的WAN设定中设置好静态的IP地址、子网掩码和ISP网关地址。
在LAN设置中设置好路由器在局域网中的的IP地址和子网掩码。这个IP地址就是局域网中FTP的登陆地址。
你可以设置你的DHCP功能,DHCP可以让客户机不需要手动配置TCP/IP,将会由路由器自动分配地址。
而且,当客户机断开与服务器的连接后,旧的IP地址将被释放以便重用,根据这个特性,比如你只拥有20 个合法的IP 地址,而你管理的机器有50 台,只要这50 台机器同时使用服务器DHCP服务的不超过20台,则你就不会产生IP 地址资源不足的情况。
在DMZ功能设置里设置要作为FTP服务器的电脑的IP地址,并勾选激活DMZ功能选项,点击执行。
DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
设置完毕后,在外网192.168.10.1的计算机IE浏览器上输入:FTP://192.168.10.5 可以看到FTP服务器上共享的内容了,就将FTP服务“放飞”到互联网中。
