① 最基本的端口都有哪些呢比如说21是FTP,22是SSH,80是HTTP,有谁可以再多告诉我一些非常感谢
0
通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux
这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。
7Echo
你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen) 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat
这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11
19 chargen
这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两 个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:1
服务:tcpmux
说明:这显示有人在寻找sgi irix机器。irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。irix机器在发布是含有几个默认的无密码的帐户,如:ip、guest uucp、nuucp、demos 、tutor、diag、outofbox等。许多管理员在安装后忘记删除这些帐户。因此hacker在internet上搜索tcpmux并利用这些帐户。
端口:7
服务:echo
说明:能看到许多人搜索fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。
端口:19
服务:character generator
说明:这是一种仅仅发送字符的服务。udp版本将会在收到udp包后回应含有**字符的包。tcp连接时会发送含有**字符的数据流直到连接关闭。hacker利用ip欺骗可以发动dos攻击。伪造两个chargen服务器之间的udp包。同样fraggle dos攻击向目标地址的这个端口广播一个带有伪造受害者ip的数据包,受害者为了回应这些数据而过载。
端口:21
服务:ftp
说明:ftp服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的ftp服务器的方法。这些服务器带有可读写的目录。木马doly trojan、fore、invisible ftp、webex、wincrash和blade runner所开放的端口。
端口:22
服务:ssh
说明:pcanywhere建立的tcp和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用rsaref库的版本就会有不少的漏洞存在。
端口:23
服务:telnet
说明:远程登录,入侵者在搜索远程登录unix的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马tiny telnet server就开放这个端口。
端口:25
服务:smtp
说明:smtp服务器所开放的端口,用于发送邮件。入侵者寻找smtp服务器是为了传递他们的spam。入侵者的帐户被关闭,他们需要连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。木马antigen、email password sender、haebu coceda、shtrilitz stealth、winpc、winspy都开放这个端口。
端口:31
服务:msg authentication
说明:木马master paradise、hackers paradise开放此端口。
端口:42
服务:wins replication
说明:wins复制
端口:53
服务:domain name server(dns)
说明:dns服务器所开放的端口,入侵者可能是试图进行区域传递(tcp),欺骗dns(udp)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:bootstrap protocol server
说明:通过dsl和cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向dhcp服务器请求一个地址。hacker常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的ip地址。
端口:69
服务:trival file transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:finger server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器finger扫描。
端口:80
服务:http
说明:用于网页浏览。木马executor开放此端口。
端口:99
服务:metagram relay
说明:后门程序ncx99开放此端口。
端口:102
服务:message transfer agent(mta)-x.400 over tcp/ip
说明:消息传输代理。
端口:109
服务:post office protocol -version3
说明:pop3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。pop3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:sun公司的rpc服务所有端口
说明:常见rpc服务有rpc.mountd、nfs、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:authentication service
说明:这是一个许多计算机上运行的协议,用于鉴别tcp连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是ftp、pop、imap、smtp和irc等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持tcp连接的阻断过程中发回rst。这将会停止缓慢的连接。
端口:119
服务:network news transfer protocol
说明:news新闻组传输协议,承载usenet通信。这个端口的连接通常是人们在寻找usenet服务器。多数isp限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
端口:135
服务:本地 service
说明:microsoft在这个端口运行dce rpc end-point mapper为它的dcom服务。这与unix 111端口的功能很相似。使用dcom和rpc的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。hacker扫描计算机的这个端口是为了找到这个计算机上运行exchange server吗?什么版本?还有些dos攻击直接针对这个端口。
端口:137、138、139
服务:netbios name service
说明:其中137、138是udp端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得netbios/smb服务。这个协议被用于windows文件和打印机共享和samba。还有wins regisrtation也用它。
端口:143
服务:interim mail access protocol v2
说明:和pop3的安全问题一样,许多imap服务器存在有缓冲区溢出漏洞。记住:一种linux蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当redhat在他们的linux发布版本中默认允许imap后,这些漏洞变的很流行。这一端口还被用于imap2,但并不流行。
端口:161
服务:snmp
说明:snmp允许远程管理设备。所有配置和运行信息的储存在数据库中,通过snmp可获得这些信息。许多管理员的错误配置将被暴露在internet。cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。snmp包可能会被错误的指向用户的网络。
端口:177
服务:x display manager control protocol
说明:许多入侵者通过它访问x-windows操作台,它同时需要打开6000端口。
端口:389
服务:ldap、ils
说明:轻型目录访问协议和netmeeting internet locator server共用这一端口。
端口:443
服务:https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种http。
端口:456
服务:【null】
说明:木马hackers paradise开放此端口。
端口:513
服务:login,remote login
说明:是从使用cable modem或dsl登陆到子网中的unix计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:【null】
说明:kerberos kshell
端口:548
服务:macintosh,file services(afp/ip)
说明:macintosh,文件服务。
端口:553
服务:corba iiop (udp)
说明:使用cable modem、dsl或vlan将会看到这个端口的广播。corba是一种面向对象的rpc系统。入侵者可以利用这些信息进入系统。
端口:555
服务:dsf
说明:木马phase1.0、stealth spy、inikiller开放此端口。
端口:568
服务:membership dpa
说明:成员资格 dpa。
端口:569
服务:membership msn
说明:成员资格 msn。
端口:635
服务:mountd
说明:linux的mountd bug。这是扫描的一个流行bug。大多数对这个端口的扫描是基于udp的,但是基于tcp的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是linux默认端口是635,就像nfs通常运行于2049端口。
端口:636
服务:ldap
说明:ssl(secure sockets layer)
端口:666
服务:doom id software
说明:木马attack ftp、satanz backdoor开放此端口
端口:993
服务:imap
说明:ssl(secure sockets layer)
端口:1001、1011
服务:【null】
说明:木马silencer、webex开放1001端口。木马doly trojan开放1011端口。
端口:1024
服务:reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开telnet,再打开一个窗口运行natstat -a 将会看到telnet被分配1024端口。还有sql session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:【null】
说明:木马netspy开放这2个端口。
端口:1080
服务:socks
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个ip地址访问internet。理论上它应该只允许内部的通信向外到达internet。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。wingate常会发生这种错误,在加入irc聊天室时常会看到这种情况。
端口:1170
服务:【null】
说明:木马streaming audio trojan、psyber stream server、voice开放此端口。
端口:1234、1243、6711、6776
服务:【null】
说明:木马subseven2.0、ultors trojan开放1234、6776端口。木马subseven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:【null】
说明:木马vodoo开放此端口。
端口:1433
服务:sql
说明:microsoft的sql服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马ftp99cmp开放此端口。
端口:1500
服务:rpc client fixed port session queries
说明:rpc客户固定端口会话查询
端口:1503
服务:netmeeting t.120
说明:netmeeting t.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门shell于这个端口,尤其是针对sun系统中sendmail和rpc服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试telnet到用户的计算机上的这个端口,看看它是否会给你一个shell。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马shivka-burka开放此端口。
端口:1720
服务:netmeeting
说明:netmeeting h.233 call setup。端口:
1731
服务:netmeeting audio call control
说明:netmeeting音频调用控制。
端口:1807
服务:【null】
说明:木马spysender开放此端口。
端口:1981
服务:【null】
说明:木马shockrave开放此端口。
端口:1999
服务:cisco identification port
说明:木马backdoor开放此端口。
端口:2000
服务:【null】
说明:木马girlfriend 1.3、millenium 1.0开放此端口。
端口:2001
服务:【null】
说明:木马millenium 1.0、trojan cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马pass ripper开放此端口。
端口:2049
服务:nfs
说明:nfs程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口。
端口:2115
服务:【null】
说明:木马bugs开放此端口。
端口:2140、3150
服务:【null】
说明:木马deep throat 1.0/3.0开放此端口。
端口:2500
服务:rpc client using a fixed port session replication
说明:应用固定端口会话复制的rpc客户
端口:2583
服务:【null】
说明:木马wincrash 2.0开放此端口。
端口:2801
服务:【null】
说明:木马phineas phucker开放此端口。
端口:3024、4092
服务:【null】
说明:木马wincrash开放此端口。
端口:3128
服务:squid
说明:这是squid http代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:【null】
说明:木马master paradise开放此端口。
端口:3150
服务:【null】
说明:木马the invasor开放此端口。
端口:3210、4321
服务:【null】
说明:木马schoolbus开放此端口
端口:3333
服务:dec-notes
说明:木马prosiak开放此端口
端口:3389
服务:超级终端
说明:windows 2000终端开放此端口。
端口:3700
服务:【null】
说明:木马portal of doom开放此端口
端口:3996、4060
服务:【null】
说明:木马remoteanything开放此端口
端口:4000
服务:qq客户端
说明:腾讯qq客户端开放此端口。
端口:4092
服务:【null】
说明:木马wincrash开放此端口。
端口:4590
服务:【null】
说明:木马icqtrojan开放此端口。
端口:5000、5001、5321、50505
服务:【null】
说明:木马blazer5开放5000端口。木马sockets de troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:【null】
说明:木马blade runner开放此端口。
端口:5550
服务:【null】
说明:木马xtcp开放此端口。
端口:5569
服务:【null】
说明:木马robo-hack开放此端口。
端口:5632
服务:pcanywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcanywere时,它会自动扫描局域网c类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcanywere的扫描包常含端口22的udp数据包。
端口:5742
服务:【null】
说明:木马wincrash1.03开放此端口。
端口:6267
服务:【null】
说明:木马广外女生开放此端口。
端口:6400
服务:【null】
说明:木马the thing开放此端口。
端口:6670、6671
服务:【null】
说明:木马deep throat开放6670端口。而deep throat 3.0开放6671端口。
端口:6883
服务:【null】
说明:木马deltasource开放此端口。
端口:6969
服务:【null】
说明:木马gatecrasher、priority开放此端口。
端口:6970
服务:realaudio
说明:realaudio客户将从服务器的6970-7170的udp端口接收音频数据流。这是由tcp-7070端口外向控制连接设置的。
端口:7000
服务:【null】
说明:木马remote grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:【null】
说明:木马netmonitor开放此端口。另外netspy1.0也开放7306端口。
端口:7323
服务:【null】
说明:sygate服务器端。
端口:7626
服务:【null】
说明:木马giscier开放此端口。
端口:7789
服务:【null】
说明:木马ickiller开放此端口。
端口:8000
服务:oicq
说明:腾讯qq服务器端开放此端口。
端口:8010
服务:wingate
说明:wingate代理开放此端口。
端口:8080
服务:代理端口
说明:www代理开放此端口。
端口:9400、9401、9402
服务:【null】
说明:木马incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167
服务:【null】
说明:木马portal of doom开放此端口。
端口:9989
端口:9989
服务:【null】
说明:木马ini-killer开放此端口。
端口:11000
服务:【null】
说明:木马sennaspy开放此端口。
端口:11223
服务:【null】
说明:木马progenic trojan开放此端口。
端口:12076、61466
服务:【null】
说明:木马telecommando开放此端口。
端口:12223
服务:【null】
说明:木马hack? keylogger开放此端口。
端口:12345、12346
服务:【null】
说明:木马netbus1.60/1.70、gabanbus开放此端口。
端口:12361
服务:【null】
说明:木马whack-a-mole开放此端口。
端口:13223
服务:powwow
说明:powwow是tribal voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个tcp端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了ip地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用opng作为其连接请求的前4个字节。
端口:16969
服务:【null】
说明:木马priority开放此端口。
端口:17027
服务:concent
说明:这是一个外向连接。这是由于公司内部有人安装了带有concent"adbot"的共享软件。concent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是pkware。
端口:19191
服务:【null】
说明:木马蓝色火焰开放此端口。
端口:20000、20001
服务:【null】
说明:木马millennium开放此端口。
端口:20034
服务:【null】
说明:木马netbus pro开放此端口。
端口:21554
服务:【null】
说明:木马girlfriend开放此端口。
端口:22222
服务:【null】
说明:木马prosiak开放此端口。
端口:23456
服务:【null】
说明:木马evil ftp、ugly ftp开放此端口。
端口:26274、47262
服务:【null】
说明:木马delta开放此端口。
端口:27374
服务:【null】
说明:木马subseven 2.1开放此端口。
端口:30100
服务:【null】
说明:木马netsphere开放此端口。
端口:30303
服务:【null】
说明:木马socket23开放此端口。
端口:30999
服务:【null】
说明:木马kuang开放此端口。
端口:31337、31338
服务:【null】
说明:木马bo(back orifice)开放此端口。另外木马deepbo也开放31338端口。
端口:31339
服务:【null】
说明:木马netspy dk开放此端口。
端口:31666
服务:【null】
说明:木马bowhack开放此端口。
端口:33333
服务:【null】
说明:木马prosiak开放此端口。
端口:34324
服务:【null】
说明:木马tiny telnet server、biggluck、tn开放此端口。
端口:40412
服务:【null】
说明:木马the spy开放此端口。
端口:40421、40422、40423、40426、
服务:【null】
说明:木马masters paradise开放此端口。
端口:43210、54321
服务:【null】
说明:木马schoolbus 1.0/2.0开放此端口。
端口:44445
服务:【null】
说明:木马happypig开放此端口。
端口:50766
服务:【null】
说明:木马fore开放此端口。
端口:53001
服务:【null】
说明:木马remote windows shutdown开放此端口。
端口:65000
服务:【null】
说明:木马devil 1.03开放此端口。
端口:88
说明:kerberos krb5。另外tcp的88端口也是这个用途。
端口:137
说明:sql named pipes encryption over other protocols name lookup(其他协议名称查找上的sql命名管道加密技术)和sql rpc encryption over other protocols name lookup(其他协议名称查找上的sql rpc加密技术)和wins netbt name service(wins netbt名称服务)和wins proxy都用这个端口。
端口:161
说明:simple network management protocol(smtp)(简单网络管理协议)。
端口:162
说明:snmp trap(snmp陷阱)
端口:445
说明:common internet file system(cifs)(公共internet文件系统)
端口:464
说明:kerberos kpasswd(v5)。另外tcp的464端口也是这个用途。
端口:500
说明:internet key exchange(ike)(internet密钥交换)
端口:1645、1812
说明:remot authentication dial-in user service(radius)authentication(routing and remote access)(远程认证拨号用户服务)
端口:1646、1813
说明:radius accounting(routing and remote access)(radius记帐(路由和远程访问))
端口:1701
说明:layer two tunneling protocol(l2tp)(第2层隧道协议)
端口:1801、3527
说明:microsoft message queue server(microsoft消息队列服务器)。还有tcp的135、1801、2101、2103、2105也是同样的用途。
端口:2504
说明:network load balancing(网络平衡负荷)
② 内网两台电脑用serv-u15.1.6搭建ftp服务器,路由器映射不同端口,一台正常,一台不能正常访问
不只21,20也是要用到的吧。2121的那台,服务也改2121口了,其实也不用改,就是2121转到IP的21就是了,就是看路由器是不是可以这样设置。
btw:其实可以开vpn、ssh……通过隧道以后访问,然后就没这个ftp影射了。
ftp有主动、被动模式,你看最后一行写的。
③ 单位网络被限制 求破解办法(200分!)
使用代理服务器.
我的也是,端口被封了.
代理中国的网址:
http://www.proxycn.com/
1.IE5.0以上版本中设置代理:菜单栏“工具”->下拉菜单“Internet选项”->选项卡“连接”->在“局域网设置”中选中您目前 使用的连接,然后点击右侧的“设置”->在中间的“代理服务器”栏选中“使用代理服务器”->在“地址” 和“端口”栏输入本站提供的HTTP代理服务器->确定->确定。
2.MyIE2中设置代理服务器:菜单栏“选项”——》“代理服务器”——》“代理设置”——》在输入框中输入标准格式的代理服务器,如XXX.XXX.XXX.XXX:端口,然后“确定”并退出,继续,菜单栏“选项”——》“代理服务器”——》然后选择刚才输入的代理服务器
3.腾讯浏览器(TT浏览器)中设置代理服务器:菜单栏“工具”——》“WWW代理”——》“设置代理”——》在代理设置对话框中,点击“新增”——》在代理设置区中,输入代理,然后“确定”并退出,继续,菜单栏“工具”——》“WWW代理”——》然后选择刚才输入的代理服务器
用SOCKS代理上OICQ,可隐藏真实IP地址,方法如下:
1.启动OICQ,登陆后右击下方开始菜单处的QQ小图标,选择“系统参数”==》“网络设置”
2.在服务器地址与端口处填QQ服务器地址,最好数字的。如5202.104.129.2515端口:8000
3.在“使用SOCKS5代理服务器”前打上勾,在“代理服务器地址”与“端口号”处,(QQ代理的端口号一般为1080) 分别填上最新SOCKS代理(SOCKS4也可用)
4.在“校验用户名”与“校验用户密码”处全部删空,然后点“测试”,如能通过,则说明代理服务器工作正常,否则换一个。
5.按“确定”,点击任务栏的QQ小图标,先离线再上线即可.
在FTP软件中我们可以使用SOCKS4/SOCKS5代理服务器,常见的FTP工具中的代理设置方法如下:
1.FlashFXP3.0以前版本中设置代理:菜单栏“选项”——》参数设置——》代理和防火墙,然后在“代理服务器”项中选择代理类型,填写代理
2.FlashFXP3.0以后版本中设置代理:菜单栏“选项”——》参数设置——》连接,然后在“代理服务器”项中选择代理类型,填写代理
3.CuteFTP XP 5.0.2 中文版中设置代理:菜单栏“编辑”——》设置——》连接——》SOCKS--》选择代理类型,如SOCKS4或者SOCKS5,并填写代理
4.LeapFtp中设置代理:菜单栏“选项”——》参数设置——》常规——》代理,将“使用代理”前面的方框钩上,然后填写代理,并将下面的SOCKS防火墙钩上
另一个方法地址:
http://bbs.rohome.net/archiver/tid-646710.html
④ “Xshell”Xshell跳板机通过隧道连接远程服务器
小菜运维仅仅只是一位菜鸟运维
废话不多说,小菜运维最近又完成了一套外包项目开发,现在准备将项目部署到甲方购买的阿里云服务器上。因为甲方是集团型大企业,又有自己的运维团队,很多规章制度比较规范,部署的时候要求通过跳板机/堡垒机登录阿里云内网ECS。虽然说跳板机很有必要也应该这样做,但奈何愿意这样做的客户是少之又少,这次是撞上大客户啦!
小菜运维平时都是使用的Xshell、Xftp管理服务器,这次通过跳板机登录内网ECS时不断输入密码,还不能直连内网ECS上传文件,操作了几次小菜运维就忍不住要口吐芬芳了,终于决定用Xshell的隧道来彻底解决一下这个效率低下、重复体力劳动的问题了!
Xshell的隧道转发类型共有三种,这里我们不展开介绍各自的应用场景,大家可以自行了解,我们这里选用的是Dynamic,可以实现自动连接内网ECS,也可直接连接FTP,但是前提是必须先连接跳板机建立起隧道,然后再连接内网ECS
隧道类型:
Local(Outgoing)
Dynamic(SOCKS4/5)
Remote(Incoming)
1. 连接跳板机
1.1 建立到跳板机的会话
Xshell选择新建会话,点击左侧 连接 ,在 常规 栏依次填入会话名称、跳板机IP、跳板机端口,然后依次完成 用户身份验证 、 登录脚本 设置,这里需要强调的一点是,务必记得设置 登录脚本 以保证隧道的长连接,避免因隧道的断开而导致后续其他远程目标机器的连接失败,具体操作如下图:
1.2 建立跳板机隧道
在上一步的对话框中,继续点击左侧 隧道 - 添加 ,在弹出的转移规则对话框中完成规则设置,这里要强调的是 源主机 是指你当前建立隧道连接的本地机器,一般填入 localhost 或 127.0.0.1 即可,而 目标主机 则是指你要远程连接的远程服务器,具体配置信息如下图:
2. 建立远程主机连接
2.1 建立到远程主机的会话
Xshell选择新建会话,点击左侧 连接 ,在 常规 栏依次填入会话名称、本机/本地IP、本机/本地监听端口,然后依次完成 用户身份验证 设置,这里需要强调的一点是,务必记得这里设置的连接主机地址 1.2 中设置转移规则时填写的 源主机 地址,而不是远程服务器的IP地址,同样的,这里设置的端口号也是 1.2 中设置转移规则时填写的 侦听端口 ,但是 用户身份验证 需要填写远程服务器的用户信息。具体操作如下图:
3. SSH/SFTP到远程服务器
自动连接远程服务器的前提是先连接到跳板机/堡垒机,然后再连接到远程服务器。
在Xshell中双击已建好的到堡垒机的会话,待成功完成登录后,再双击已建好的到远程服务器的会话,这时我们可以看到Xshell自动实现了登录远程服务器操作,这时在Xshell已登录的远程服务器页面,点击顶部工具栏的 新建文件传输 按钮,Xshell将自动打开Xftp并自动登录远程服务器的Xftp文件管理页面;
1. 连接跳板机
1.1 建立到跳板机的会话
这里和 Local(Outgoing)方式 的步骤完全相同,可参照之前步骤操作。
1.2 建立跳板机隧道
这里和 Local(Outgoing)方式 的区别在于转移规则的配置,具体配置信息如下图:
2. 建立远程主机连接
2.1 建立到远程主机的会话
这里和 Local(Outgoing)方式 的区别在于主机和端口号的配置,这里的主机和端口号都是配置的远程服务器的, 用户身份验证 同样还是需要填写远程服务器的用户信息。具体操作如下图:
2.2 建立到远程主机会话的代理
在上一步 2.1 建立到远程主机的会话 的对话框左侧,点击 代理 ,然后浏览并添加代理服务器,这里我们代理服务器设置的就是本地机器,要注意的是这里 代理服务器的监听端口必须和1.2中隧道转移规则设置的侦听端口保持一致 ,具体配置如下图:
3. SSH/SFTP到远程服务器
这里和 Local(Outgoing)方式 的步骤完全相同,可参照之前步骤操作。
基于隧道可以简化很多体力操作,感觉起来就好像堡垒机不存在一样,实际操作中推荐使用 Dynamic(SOCKS4/5)方式 ,因为Dynamic(SOCKS4/5)方式对于跳板机后有多台远程服务器需要连接的场景只需要配置一次隧道和代理,之后就可以直接添加到远程服务器的会话就可以了;而 Local(Outgoing)方式 则需要为每一台远程服务器添加一个单独的隧道才可以。
如果按照以上步骤操作仍然不能正常访问,那么……建议你联系你的堡垒机管理员,可能是堡垒机帐号/凭据/权限等的设置没有给足你权限。
附-参考文档:
阿里云·堡垒机
阿里云·透明代理
⑤ 【转载】通过iptables实现端口转发和内网共享上网
【出处】 http://blog.51cto.com/wwdhks/1154032
【作者】张天成, [email protected]
iptables操作的是2.4以上内核的netfilter,所以需要 linux的内核在2.4以上。其功能与安全性远远比其前辈 ipfwadm, ipchains强大,iptables大致是工作在OSI七层的二、三、四层,其前辈ipchains不能单独实现对tcp/udp port以及对mac地址的的定义与操作,所以我想ipchains应该是仅仅工作在三层的。
我们先简单介绍一下netfilter的大致工作流程,也就是一个数据包(或者叫分组、packet,我个人习惯叫包)在到达linux的网络接口的时候 (网卡)如何处理这个包,然后再介绍一下如何用iptables改变或者说控制对这个数据包进行操作。
netfilter内部分为三个表,分别是 filter,nat,mangle,每个表又有不同的操作链(Chains)。
下面有一张图清晰的描绘了netfilter对包的处理流程(该图摘自网上,不知作者是谁,在此深表敬意!),一般情况下,我们用不到这个mangle表,在这里我们就不做介绍了。
当一个包来到Linux的网络接口的时候先执行PREROUTING操作,依次经过mangle、nat的PREROUTING链。从这个Chain的名字我们可以看出,这个Chain是在路由之前(pre-routing)要过的。为什么要在路由之前过呢?因为在这个链里面我们对包的操作是DNAT,也就是改变目的地址和(或端口),通常用在端口转发(修改P
ort),或者NAT到内网的DMZ区(修改地址)。
环境配置如下:
我们怎么样能让Internet用户通过公网IP访问内部的web服务器呢? 在这个PREROUTING链上定义一个规则,把访问60.1.1.1:80的用户的目的地址改变一下,改变为10.1.1.2:80,这样就实现了internet用户对内网服务器的访问了。当然,这个端口是比较灵活的,我们可以定义任何一个端口的转发,不一定是80-->80。具 体的命令我们在下面的例子中介绍,这里我们只谈流程与概念上的实现方法。
好了,我们接着往下走,来到图中下方的那个菱形(FORWARD),转发!
默认情况下,当Linux收到了一个目的IP地址不是本地IP的包,Linux会把这个包丢弃。因为默认情况下,Linux的三层包转发功能是关闭的,如果要让我们的Linux实现转发,则需要打开这个转发功能,可以 改变它的一个系统参数,使用如下命令打开转发功能:
处理顺序上,依然是mangle优先、随后流经filter的FORWOARD链。我们操作任何一个链都会影响到这个包的命运,在 下面的介绍中,我们就忽略掉mangle表,我们基本用不到操作它,所以我们假设它是透明的。假设这个包被我们的规则放过去了,也就是ACCEPT了,它将进入POSTROUTING部分。
注意!这里我注意到一个细节问题,也就是上面的图中数据包过了FORWARD链之后直接进入了POSTROUITNG 链,我觉得这中间缺少一个环节,也就是ROUTING。对于转发的包来说,Linux同样需要在选路(路由)之后才能将它送出,这个图却没有标明这一点,我认为它是在过了ROUTING之后才进入的POSTROUITNG。当然了,这对于我们讨论iptables的过滤转发来说不是很重要,只是我觉得流程上有这个问题,还是要说明 一下。
POSTROUTING链是数据包要送出这台Linux的最后一个环节了,也是极其重要的一个环节。这个时候Linux已经完成了对这个包的路由(选路工作),已经找到了合适的接口送出这个包了,在这个链里面我们要进行重要的操作,就是被Linux称为 SNAT的一个动作,修改源IP地址!
为什么修改源IP地址?最常见的就是我们内网多台机器需要共享一个或几个公网IP访问 Internet。因为我们的内网地址是私有的,假如就让Linux给路由出去,源地址也不变,这个包能访问到目的地,但却回不来。因为 Internet上的路由节点不会转发私有地址的数据包,也就是说,不用合法IP,我们的数据包有去无回。
有人会说:“既然是这样,我就不用私有IP了,我自己分配自己合法的地址不行吗?那样包就会回来了吧?”。答案是否定的,IP地址是ICANN来分配的,Internet上的路由器会把这个返回包送到合法的IP去,你同样收不到。而你这种行为有可能被定义为一种ip欺骗,很多设备会把这样的包在接入端就给滤掉了。
那么Linux如何做SNAT 呢?环境配置如下:
当内网节点10.1.1.12需要访问202.2.2.2的web服务器,发送数据包时先路由到10.1.1.1节点,随后(在10.1.1.1节点配置SNAT)将源IP改为60.1.1.1后送出。同时在ip_conntrack表里面做一个记录:内网的哪一个ip的哪个端口访问的这个web服务器,自己把它的源地址改成多少了,端口改成多少了,以便这个web服务器返回数据包的时候linux将它准确的送回给发送请求的这个pc.
大体的数据转发流程我们说完了,我们看看iptables使用什么样的参数来完成这些操作。在描述这些具体的操作之前,我还要说几个我对iptables的概念的理解(未必完全正确),这将有助于大家理解这些规则,以实现更精确的控制。
上文中我们提到过,对包的控制是由我们在不同的Chain(链)上面添加不同的规则来实现的。那么既然叫链,一定就是一条或者多条规则组成的了,这时就有一个问题了,如果多个规则对同一种包进行了定义,会发生什么事情呢?
在Chain中,所有的规则都是从上向下来执行的,也就是说,如果匹配了第一行,那么就按照第一行的规则执行,一行一行的往下找,直到找到 符合这个类型的包的规则为止。如果找了一遍没有找到符合这个包的规则怎么办呢?iptables里面有一个概念,就是Policy(策略),如果找了一遍找不到符合处理这个包的规则,就按照policy来办。iptables 使用-P来设置Chain的策略。
对链的操作就那么几种:
比如我们要添加一个规则到filter表的FORWARD链:
在iptables中,默认的表名就是filter,所以这里可以省略-t filter直接写成:
iptables中的匹配参数: 我们在这里就介绍几种常用的参数,详细地用法可以man iptables看它的联机文档,你会有意外的收获。
环境信息:
或者使用如下命令
配置完成,在内网节点(192.168.234.72)发起的服务器节点(8.1.234.73)请求,会由外网节点修改源ip后转发出去。
在8.1.234.73上启动nginx服务,在192.168.234.72上通过curl访问效果如下:
可以将上述配置写到一个文件中,以便重复执行。
除此之外,也可以精确控制他的访问地址,比如我就允许10.1.1.99访问3.3.3.3这个ip
或者只允许他们访问80端口
更多的控制可以自己灵活去做,或者查阅iptables的联机文档。
环境信息:
确保服务监听的是ip是内网ip
或者使用如下命令
同样,可以将这部分配置放到一个文件中:
OK,至此配置完成,我们可以尝试在外网节点(8.1.234.73)上,通过网关节点(8.1.234.71)访问内网(192.168.234.72)提供的服务(80端口)。
在前面的配置中,内网节点将互通的外网节点做为网关,由网关节点修改目的地址,源地址保持不变。其实,还存在另外一种配置方式,同时修改源地址、目的地址。将内网地址中的默认路由配置删除
增加一个SNAT配置
这条命令不太好懂?其实很简单,如果使用这条命令,那么你的web server不需要再设置默认网关,就能收到这个请求,只要他和linux的lan ip地址是能互访的(也就是说web server和Linux的Lan ip在一个广播域)。我们在根据上面的netfilter流程图来分析这个包到底被我们怎么样了:
修改目的地址,于是这个包变成了8.1.234.73:1333-->192.168.234.72:80。
进入route box选路,找到合适路径,此时这个包依旧是8.1.234.73:1333-->192.168.234.72:80。
原来是一个SNAT,改你的源地址,于是这个包变成了192.168.234.71:xxxx(随机端口)-->192.168.234.72:80。
看了上面的两个例子,不知道大家是否清楚了iptables的转发流程,希望对大家有所帮助。
下面来讲前面提到的ESTABLISHED,RELATED规则是怎么回事,到底有什么用处。
我们知道,网络的访问是双向的,也就是说一个Client与Server之间完成数据交换需要双方的发包与收包。在netfilter中,有几种状态,也就是New, Established,Related,Invalid。
当一个客户端,在本文例一中,内网的一台机器访问外网,我们设置了规则允许他出去,但是没有设置允许回来的规则啊,怎么完成访问呢?这就是netfilter的 状态机制 ,当一个Lan用户通过这个Linux访问外网的时候,它发送了一个请求包,这个包的状态是New(配置了内网IP的转发规则,放行)。当外网回包的时候他的状态就是Established,所以,Linux知道,哦,这个包是我的内网的一台机器发出去的应答包,他就放行了。
而外网试图对内发起一个新的连接的时候,他的状态是New,所以Linux压根不去理会它。这就是我们为什么要加这一句的原因。
还有那个Related,他是一个关联状态,什么会用到呢?sftp、ftp都会用到,因为他们的传输机制决定了,它不像http访问那样,Client_IP: port-->Server:80然后server:80-->Client_IP:port,ftp使用tcp21建立连接,使用20端口发送数据,其中又有两种方式,一种主动active mode,一种被动passive mode。主动模式下,client使用port命令告诉server我用哪一个端口接受数据,然后server主动发起对这个端口的请求。被动模式下,server使用port命令告诉客户端,它用那个端口监听,然后客户端发起对他的数据传输,所以这对于一个防火墙来说就是比较麻烦的事情,因为有可能会有New状态的数据包,但是它又是合理的请求,这个时候就用到这个Related状态了,他就是一种关联,在linux中,有个叫 ftp_conntrack的模块,它能识别port命令,然后对相应的端口进行放行。
对了,还有几个在实际中比较实用(也比较受用:-))的命令参数,写出来供大家参考
⑥ ultraedit本地编辑远程FTP的文件,保存不了,同步不了
一、FTP账户管理器
路径:打开UE->文件->FTP/Telnet->账号管理器->打开账号管理器
这对话框允许用户FTP帐户被配置。 这个帐户被用于 FTP 打开, FTP 另存为 和FTP 浏览命令。
帐户指定将被用于连接到的服务器和将被连接的服务器的用户。
添加帐户 按钮允许您指定一个新的帐户名。 帐户的修改您可以从帐户列表里选择。 如果对帐户做了任何修改都会被提示,该修改是否应该被保留。
删除帐户 按钮将从帐户列表里立刻删除激活的或被选择的帐户。
The 默认帐户 按钮设置激活的或被选择的帐户作为指定的默认帐户,是通过跟随在列表帐户名后面的星号"*" 指定的。
FTP 帐户管理器有选项,通过在以下五个不同标签被组织在一起: 常规, 服务器, 高级, 代理, 和 SSH/SSL.
常规 标签包括以下配置选项:
帐户
这是为配置的帐户将使用的名字。 当修改被保存,这个名字将出现于在配置选项左边列表里。
相当于【FTP连接名】
协议
这下拉框允许用户选择用户指定下面传输协议之一:
FTP
创建非安全的FTP 连接。20端口是数据端口(上传下载),21端口是控制端口
SFTP
创建安全的使用SSH2协议的FTP (SFTP)连接。使用22端口
FTPS - 仅控制
创建在标准FTP协议下用SSL层的安全的FTP (FTPS)连接。这种方法仅将控制隧道加密。
FTPS - 控制 + 数据
创建在标准FTP协议下用SSL层的安全的FTP (FTPS)连接。 这种方法将控制和数据隧道加密。
FTPS - Implicit
创建在标准FTP协议下用SSL层的安全的FTP (FTPS)连接。 这种方法是旧FTPS方法并且一般不推荐, 但是它仍支持一些服务器。
所有的SFTP/FTPS传输被加密并且解密算法通过和服务器协商。 假如他们中任何设置传输对话框 显示"lock"字符显示传输是安全的。
Server
这是您希望连接的ftp站点例如ftp://ftp.idmcomp.com. 这也可能登录 ftp.idmcomp.com. 假如在表单里xxxx.xxxx.xxxx.xxxx首选IP 地址可能被登录
这里我填写的是数据库服务器的ip地址:10.166.173.21
端口
对于FTP/SFTP协议,UltraEdit/UEStudio使用这个端口。 默认FTP是21端口控制,SFTP是22. 假如必要,这个端口可以被修改。
这我添加的是21控制端口
用户名
这是登录到服务器上使用的用户名。
oracle
密码
这是登录到服务器上使用的密码。 这应该是用户名的密码,如所提供的站点管理,或者为匿名在网络上联接主机[服务器]的操作典型的是用户的电子邮件。
*****
保存密码
这个复选框确定UltraEdit/UEStudio是否为以后做参考将保存密码。 否则,将提示用户需求输入密码。 注: 如果密码被保存在系统里存储。 然而它被加密,加密机制是不复杂,并且不应该依靠作为安全方法。
如果打勾了,在连接FTP不如在输入用户密码了,否则要再次输入密码
用户帐户
当登录时,这在Host服务器允许用户指定帐户。 这仅要求一些服务器。
默认不填
连接限制
这个设置限制FTP客户用服务器将建立并发连接的数量。 例如,如果用户通过FTP选择10个文件打开或保存,但是连接极限设置到4, 选择的文件传输接近4或少于4,直到传输所有选择的文件。
4,最多可以打开的文件数
初始化目录
这是初始化目录连接到在FTP服务器。 没有需要这。 如果这没有指定, UltraEdit将记住每次用户连接到服务器帐户的最后目录。
默认不填
初始化本地目录
当连接FTP服务器时,使用初始化本地目录。 FTP浏览选项仅被使用, 这个没有被要求。 假如没有被指定, UltraEdit 将默认到用户的文档文件夹(也就是在Windows XP的我的文档和在Windows Vista的文档)。
在连接FTP时,初始化本机的目录路径
Server标签包括下面配置选项:
Server类型
为多数FTP服务器默认自动或Unix应该没有问题工作。 然而这提供与需要特殊句柄的服务器的连接。 支持的服务器列表预计增长。 目前支持:
Auto
AIX
VAX/VMS
UNIX
AIX
Stratus VOS - "全路径主字符" 应该设置成 "%" 并且"路径/节点分隔字符" 应该设置成 ">".
File Name Only - 这发生第一个字段返回并且并且显示它作为文件名。
BS2000
MVS
OS9000
AS400
HP3000/VeSoft Security
Tandem Guardian
我选的是UNIX和Auto
会话名
对于当前的帐户,这个字段过去习惯于定义为会话名 。 这仅使用于HP3000 帐户。
默认不填
登录后发送
在这个字段输入的任何值在连接到服务器后将立即传给FTP服务器。
LIST命令过滤器
当发出LIST命令时,LIST命令过滤器确定从服务器检索什么。 在多数FTP服务器上,如果您通过" - al" 您将收到一个完整的列表包括隐含文件。 您能也通过通配符。 例如" *.txt" 将列出所有txt文件。 注意有些服务器(VMS, MVS,等等)不句柄象Unix或Linux服务器的过滤器arguments。
全路径主字符
这允许用户忽略在服务器上一个文件的全路径上的主字符(通常“/")。
路径/节点分隔符号
这允许用户忽略在服务器上的目录或节点之使用字符(通常“/")。
名字索引
这个字段被用于指定存放文件的名字的列数。 这个值的默认是"-1" 并且不应该改变,除非您确信应该使用这个值。
大小索引
这个字段被用于指定存放文件的名字的列数。 这个值的默认是"-1" 并且不应该改变,除非您确信应该使用这个值。
使用MDTM和大小
如果修改过的时间和大小的文件没有正确返回,这个被选择的选项强制这些值在目录列表里返回的每个文件正确地要求。 选择此项可能将减速FTP过程。
被动传输
因为FTP是port-hopping协议(也就是:当通讯时数据隧道使用任意端口), 许多防火墙能够理解FTP协议并且允许二次数据连接。然而假如控制连接使用任何方法被加密,防火墙不能能够从控制连接的数据连接得到端口号(由于被加密并且防火墙不能解密。因此许多防火墙网络清除FTP连接,SFTP/FTPS连接或者完全失败或者要求使用被动模式。
使用服务器返回的IP地址
这个值当被动传输选项被选择时仅使用。 当连接到服务器时,选择这个选项强制帐户使用防火墙指定的IP地址。 请注意: 如果您不控制服务器您连接对或不能确信的它的内容,有选择这个选项相关的安全风险。
高级标签包括下面配置选项:
本地复制目录
当文件被保存时,这允许用户指定一个本地复制应该自动地保存文件在哪里。 如果这是空白的本地复制没有发生。如果这不是空的,当FTP保存发生(没有另存为)文件的拷贝在被指定的目录里被保存。 如果另一个文件存在相同的名字它将不用警告被覆盖。 本地复制优先于FTP保存。
存放本地副本,当远程文件被保存的同时在本地机器上也备份一份
如果没保存会话缓存密码
如果这个被选择帐户的密码一旦在这期间输入被缓存,UltraEdit将运行并且不需要被再次输入。 如果密码不正确地输入,需要进入帐户对话框改变和删除它并且清理缓存。
默认传输类型
用户可以指定 ASCII或者二进制 作为默认传输类型。 ASCII 造成文件为不同系统之间的行终止适当地被转换。 二进制 造成文件按字节传输没有转换。 依赖于FTP服务器/客户端, ASCII传输可能把文件误当成7-bit传输。 因为这个原因,二进制被作为首选传输类型。
一般都选二进制
显示过滤器
当连接到FTP服务器后,过滤目录列表返回已存在的两个选项:
*.* 使用通配符来过滤想要的文件
远程 - 使用LIST命令
假如这个选项被选择,使用列表命令,来自FTP服务器的目录列表返回过滤将在FTP服务器上被执行。结果可能被使用标准通配符过滤。例如 "*.txt" 显示所有txt文件。注意有些服务器(VMS, MVS, etc)不能处理filter像Unix/Linux服务器。
本地 - Perl规则表达式
假如这个选项被选择,来自FTP服务器的目录列表返回过滤将在本地系统上被执行。并且是从FTP服务器返回仅解析的数据,在FTP日志有记录。这个选项将使用Perl正则表达式确定应该返回过滤表达式应该怎样解析,并且应该返回什么数据。
The Proxy 标签包括以下配置选项:
使用代理
这个允许Proxy设置和配置这个帐户通过指定的代理连接。 如果直接连接到互联网不允许使用代理设置。 如果在局域网通过代理连接,设定代理设置将是必要的。
代理服务器
这是用来使用作为代理的服务器的名字(或者 IP 地址)。 假如您不知道这个名字,请与您的系统管理员协商。
代理端口
这是用于FTP/SFTP协议UltraEdit/UEStudio使用的端口。 默认FTP是21端口,SFTP是22端口。 假如需要这个可以被更改。
代理用户
这是用户名被用作登录代理。 假如您不知道这个名字,请与您的系统管理员协商。
代理密码
这是密码被用作登录代理。 假如您不知道这个名字,请与您的系统管理员协商。
代理类型
这个下拉框被用作指定当前FTP帐户使用的Proxy类型。 T下面Proxy类型被现在支持:
SOCKS4
SOCKS4A
SOCKS5
WEB Proxy
Relay
Windows (Internet Explorer)
FTP User
FTP Site
FTP Open
请注意不是所有的代理对每个协议都有效。
SSH/SSL标签包括以下配置选项:
认证
这允许用户指定服务器使用的认证类型。 下面方法被支持:
仅密码
这要求提供用户名/密码和使用非公共密钥/私密钥配对或者SSL证书。
仅公共密钥/SSL证书
这要求用户使用公共密钥/私密钥配对或者SSL证书。 私钥/SSL证书的位置必须在私密钥/SSL证书路径里指定。
密码 & 公共密钥/SSL证书
这允许用户指定公钥/私钥或者SSL证书并且/或者用户名/密码。
密钥要求密码
假如这个选项被选择,在常规标签下的用户名字段必须被填上。
如果使用这种方法要求密钥, 密钥要求密码 选项允许用户表明私钥是被保护的密码。 如果这是实际情形,每次会话将提示用户输入密码,或者在改变帐户设置以后。
认证方法必须通过服务器支持。 对于SFTP,密钥应该使用OpenSSH 格式。 对于FTPS, 应该使用在PEM或PFX格式里加载的证书。
允许压缩
假如这个选项被选择, 当传输到服务器/从服务器传输,数据被压缩。 依赖于服务器配置,这可能提高传输速度。
二、FTP 浏览 (文件菜单/FTP子菜单)
路径:打开UE->文件->FTP/Telnet->浏览
使用该命令打开 FTP 浏览器。FTP 浏览器主要由三个面板构成。最左边的面板显示本地计算机的目录树。中间的面板显示本地计算机中选定的文件夹的内容。右边的文件夹显示远程系统(FTP 服务器)上活动文件夹的内容。显示过滤器窗口:*.* 使用通配符来过滤出想要的文件
可以选择多个文件,并使用中间和右侧窗格之间竖直分隔栏上的按钮在本地和远程系统之间移动。 在本地和远程系统窗格上方有一个地址栏,包含上移一个目录的按钮、刷新按钮和指示活动文件夹路径的文本区域。
包含以下按钮:
帐号
出现 FTP 帐号管理器 对话框
连接
连接到选定的 FTP 帐号
断开连接
断开活动 FTP 帐号的连接
关闭
关闭 FTP 浏览器
更改
提供“更改 FTP 目录”对话框,允许直接指定要在更改到远程系统上的路径
中断
终止活动传输进程
三、FTP 打开文件
路径:打开UE->文件->FTP/Telnet->从FTP打开
账户
远程系统窗格上方有一个地址栏,包含上移一个目录的按钮、刷新按钮和指示活动文件夹路径的文本区域,显示过滤器窗口:*.* 使用通配符来过滤出想要的文件。
在系统窗口里选择“文件名”->打开“按钮”->在本地显示出文件内容
⑦ EDI电子数据交换的EDI传输协议
AS1
AS1是由 IETF 开发的,旨在通过 SMTP 和 S/MIME 提升消息传递的安全性和可靠性。它是第一个可开发、使用签名AS、加密、具有 MDN(送达回执)的AS协议。基于AS 的文件传输具有典型的特点:文件交换的双方必须通过 SSL 加密认证、并且具有特定的“交易伙伴”名称。
AS2
AS2 采用与AS1 协议相同的签名AS、加密和具有MDN。AS2消息通常采用HTTP或HTTPS协议在互联网上发送。AS2 作为一个点对点的交互方法已被广泛应用。AS2 相比标准HTTP具备更优点,包括增加验证以及电子收据和数字签名带来的安全性。AS2 是实时处理的,提高了文档交换的效率。美国的沃尔玛是整个零售行业中首批采用AS2协议的公司之一。
AS3
AS3 是由IETF 开发的,旨在通过FTP 提升消息传递的安全性和可靠性。AS3基于FTP协议的安全版本,而不是HTTP。相对于AS2 采用的点对点的模式,AS3协议传输采用的是由S/MIME 通过FTP实施的,如同FTP的客户端/服务器模。AS3 也采用和AS2 一致的MDN(送达回执)。AS3 是一个双向协议,客户端不需要接受实时信息的收纳人(AS2 总是需要)。在FTP脚本、应用和安全方面,AS3 特别适合于银行,以及其它有投资量大的产业。
AS4
AS4 由OASIS ebXML消息传递服务技术委员会的小组开发,可在web服务领域提供安全的B2B文档交换使模式。AS4 仍处于草案定义格式阶段。AS4 的配置文件可以提供了一个市场的入门级解决方案,允许公司利用内部基于SOA构建的平台处理外部B2B消息,同时承担一些更为复杂的web服务。欧洲航空航天工业提议使用AS4 作为与其贸易伙伴发送 ebXML 相关的B2B 文档的通讯标准。
ebXML
ebXML消息传递服务提供了一个安全的和可靠的基于SOAP/ Web,并按照ebXML规格所定义的服务打包、路线规划和传输的协议。ebMS具有开放性的标准,因而是中性的通信协议,虽然最常见的底层协议HTTP和SMTP。ebMS本质上为使用SOAP / Web 服务的各种业务应用之间,提供了一种交换基于ebXML 的 B2B文档的方法。
FTP
FTP是标准的网络协议,它用于通过一种基于TCP / IP的网络(如因特网)交换和操作文件。FTP 是建立在客户端-服务器结构上的,实现客户端和服务器应用之间独立的控制和数据连接。FTP 也经常被用作应用组件为程序的内部函数自动传输文件。FTP用户可使用密码身份验证或匿名用户访问。
FTPS
作为FTP的一个扩展, 文件传输安全协议(FTPS)增加了对安全传输层协议 (TLS)和加密套接字层(SSL)加密协议的支持。FTPS 不同于SFTP (一个不兼容SSH协议的安全文件传输子系统),也不同于安全FTP(通过SSH 连接实现隧道FTP)。
HTTP
超文本传输协议被用于在互联网或其他的计算机网络请求和传输文件,尤其是web页面和web页面组件。在HTTP中, web浏览器通常作为客户端,而在托管网站的计算机上运行的应用程序作为一个服务器。HTTP是通常都实施TCP/IP协议,然而也可以实现互联网或其它网络上的任何协议。
HTTPS
超文本传输协议安全是一个以SSL/TLS协议提供服务器加密和安全识的超文本传输协议的集合。HTTPS连接常常用于网上的支付类型交易,以及公司之间的业务系统交换敏感信息。
OFTP
OFTP协议被开发用于为欧洲汽车工业提供一个标准通信平台,已从1980年代中期使用至今。OFTP 也已经扩展应用到了零售、大型家电、制造业、政府部门、运输、保险行业和银行业等。OFTP的协议使用非常简单,仅由14个命令构成。OFTP协议是非常有效的,允许使用大型传递窗口的同时重新启动合并文件,数据压缩和安全。OFTP 允许企业很容易通过点对点连接进行交流。
OFTP2.0
OFTP2.0版是最新版本的OFTP标准,从一开始就被设计用于在互联网上使用。相对于OFTP,OFTP2提供了一系列的便利,包括数据压缩,贸易伙伴之间的数字证书交换(改善传输的安全),它支持处理超大文件(超过500 Gb),并提供了额外字符集支持诸如中文和日语。OFTP 主要在欧洲应用比较广泛,而OFTP2 被设计应用于整个互联网,它可以帮助世界各地的贸易伙伴连接彼此。自2008年以来,许多欧洲的汽车制造商已经开始运行OFTP2 试点项目,预计将在2010年期间广泛部署在生产项目。
SFTP
SFTP是一个提供了任何可靠数据流的文件访问、文件传输和文件管理功能的网络协议。它被设计为SSH2.0 的扩展协议来提供安全的文件传输功能,但是它也打算匹配其他协议。SFTP可以应用在许多不同的应用程序中,如安全转移安全传输层协议(TLS)和VPN 应用内的管理信息传输。这个协议假设它是运行在一个安全的通道中,比如SSH,服务器已经验证的客户端和用户是可以使用该协议的。
⑧ VPN与一般的文件传输服务FTP有何区别
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
FTP(File Transfer Protocol, FTP)是TCP/IP网络上两台计算机传送文件的协议,FTP是在TCP/IP网络和INTERNET上最早使用的协议之一,它属于网络协议组的应用层。FTP客户机可以给服务器发出命令来下载文件,上载文件,创建或改变服务器上的目录。