我有一个Web服务器上的IIS 7主机启用SSL的网站。
试图连接的客户端位于企业Forefront TMG的后面。 该应用程序是Total Commander – 一个文件pipe理器shell程序,通过在FTP连接设置中勾选SSL / TLS,可以连接到SSL FTP。
当FF中的FTP访问筛选器启用时,我的连接尝试在FTP连接的Toc步骤的Negociating时失败。 即使在filter的设置中启用允许活动FTP也会发生同样的情况。
但是,当我完全禁用FF上的FTP访问filter,我可以很好地连接。
如何configurationFF TMG以允许FTPS?
TMG不支持FTPS(即FTP + SSL,而不是SFTP或SSH文件传输,一般工作正常)
FTPS实际上很难做FTPfilter,因为FTP NATfilter监视NAT后面的客户端发送给FTP服务器的信息,并且encryption导致不可见。 这让NAT检查员感到不安。
如果Total Commander支持使用HTTP代理,则可以通过将其configuration为使用HTTPS连接(通过CONNECT-to-get-a-plain-TCP-channel hack)来轻松解决此问题。
为了达到这个目的,你还需要configurationTunnelPortRanges来允许目标端口像SSL一样。 http://technet.microsoft.com/en-us/library/cc302450.aspx
替代select!
如果 (长列表在这里)
那么你可以设置
这套规则应该在允许客户端完全访问所有协议和端口的任何其他规则之前进行sorting。
DENY FTP规则是重要的
a)在应用程序filter使用协议的特殊FTP规则之后立即解除绑定
b)在任何其他可能允许客户端使用良好的旧FTP到目标IP的规则之前(否则TMG倾向于使用应用程序filter的协议定义,这是我们不想在这里 – 我们希望TMG把它看成是直的TCP)
我认为这将涵盖所有的FTPS情况。 与此相同的原则。