ftp的被动模式无法通过nat server连接内部服务器

Server——USG——ISP——pc1

IP部署为：

server：192.168.1.2

USG(trust)：192.168.1.1

USG（untrust）：10.1.1.1

pc1为拨号用户

USG上的nat配置为：

    nat server protocol tcp global 10.1.1.1 ftp inside 192.168.1.1 ftp

    acl 2000

        rule permit

    firewall interzone trust untrust

        nat outbound 2000 interface e0/0/0

这个时候使用主动模式可以访问服务器，但是使用被动模式不可以访问！

使用一个全映射即可解决：

nat server global 10.1.1.2 inside 192.168.1.2

主动模式发送数据的时候是server的20端口与客户方连接

被动模式发送数据的时候是server用一个大于1024的端口让客户主动来连接

配置中只配了ftp的转换，并没有配置大于1024的nat server转换，因此造成使用被动模式无法连接server的原因

这个案例只要了解FTP的两种工作模式即可

主动模式：命令通道建立之后，服务器主动发起使用源端口20去连接客户端的一个随机的端口

被动模式：命令通道建立之后，客户端主动发起连接到服务器的一个随机端口