Uso de números de puerto FTP no estándares con NAT

Opciones de descarga

  • PDF     (181.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (94.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (89.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de agosto de 2005
ID del documento:13776

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Las versiones 11.2(13) y 11.3(3) del software del IOS® de Cisco introdujeron la funcionalidad para que la Traducción de dirección de red (NAT) admita los números de puertos del Protocolo de transferencia de archivos (FTP) no estándares. En las versiones anteriores del software Cisco IOS, cuando un router habilitado por NAT recibe un paquete con direcciones IP que necesitan ser traducidas por NAT y el número de puerto TCP estándar es para la conexión de control FTP (21), el router reconoce al paquete como un paquete FTP y realiza cualquier traducción necesaria en la carga útil (porción de datos) del paquete. Sin embargo, si el servidor FTP utiliza un número de puerto FTP no estándar, el NAT ignora la carga útil del paquete. Esto puede impedir que se establezcan conexiones de datos por FTP.

Para soportar el uso de números de puerto FTP no estándar, debe utilizar el comando ip nat service. Esta tabla describe las opciones disponibles en este comando:

Opción Definición
lista Especifique la lista de acceso con la descripción de las direcciones globales.
nombre Nombre de lista de acceso para la dirección local del servidor.
número Número de lista de acceso para direcciones globales.
FTP Protocolo FTP.
tcp Protocolo TCP
puerto Puerto especial no estándar.
número de puerto Cantidad de puertos no estándar especiales.

Esta es una sintaxis de ejemplo: 

router-6(config)#ip nat service list 10 ftp tcp port 2021

Algunas cosas importantes a tener en cuenta:

  • La dirección de la lista de acceso en el comando anterior debe coincidir con la dirección IP local interna para el servidor FTP con el puerto de control FTP no estándar.

  • Si un puerto de control FTP no estándar se configura para un servidor FTP, NAT detiene la verificación de las conexiones de control que están usando puerto 21 para ese servidor FTP. Los demás servidores FTP siguen funcionando normalmente.

  • Un host con un servidor FTP que use un puerto de control no estándar también puede tener un cliente FTP que use el puerto de control FTP estándar (21).

  • Si un servidor FTP utiliza tanto el puerto 21 como un puerto no estándar, debe configurar ambos puertos usando el comando ip nat service list <acl> ftp tcp <port> . Por ejemplo: 

    ip nat service list 10 ftp tcp port 2021
ip nat service list 10 ftp tcp port 21

    Sin embargo, no puede configurar listas de acceso múltiple para el mismo puerto y el mismo servicio. Por ejemplo: 

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
router-6(config)#ip nat service list 10 ftp tcp port 2021
% service "ftp tcp port 2021" is already configured for access-list 17

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versiones 11.2(13), 11.3(3) y posteriores del software del IOS de Cisco

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configuraciones de Ejemplo

En cada uno de los siguientes ejemplos, los flujos que NAT procesa como conexiones de control del FTP están descriptos en una tabla a continuación de las configuraciones. En cada tabla, "cualquier dirección local" se refiere a cualquier dirección que no sea igual a 10.1.1.1.

Ejemplo de configuración 1

Suponga que estos servidores FTP se están ejecutando en su red local:

  • Servidor FTP con dirección IP 10.1.1.1 que se ejecuta en el puerto TCP número 2021.

  • Servidores FTP adicionales con dirección IP "any" (distinto de 10.1.1.1) en el puerto TCP número 21. 

    ip nat service list 10 ftp tcp port 2021 
access-list 10 permit 10.1.1.1
Dirección de la fuente Puerto TCP de origen Dirección de destino Puerto TCP de destino
cualquier dirección local cualquier puerto 10.1.1.1 2021
cualquier dirección local cualquier puerto cualquier dirección local (ver nota) 21
10.1.1.1 cualquier puerto cualquier dirección local (ver nota) 21

Nota: Cualquier dirección local no es igual a 10.1.1.1.

Esta lista describe el proceso NAT que se detalla en la tabla anterior:

  • Primera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 2021 debe tener la traducción NAT necesaria de la carga útil.

  • Segunda línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado a cualquier dirección local (que no sea 10.1.1.1) con el puerto TCP de destino número 21 (puerto de control FTP típico) necesita tener la traducción NAT necesaria de la carga útil. Por lo tanto, habilitando todos los servidores FTP (que no sean 10.1.1.1) que se ejecutan en el puerto 21 típico para tener la traducción NAT necesaria de la carga útil.

  • Tercera línea: Un paquete originado desde 10.1.1.1 con cualquier número de puerto destinado a cualquier dirección local (que no sea 10.1.1.1) con el puerto TCP de destino 21 necesita tener la traducción NAT necesaria de la carga útil.

Ejemplo de configuración 2

Suponga que estos servidores FTP se están ejecutando en su red local:

  • Servidor FTP con dirección IP 10.1.1.1 que se ejecuta en los puertos TCP número 21 y 2021.

  • Algunos servidores FTP con dirección IP "any" (excepto 10.1.1.1) en el puerto TCP número 21. 

    ip nat service list 10 ftp tcp port 21 
ip nat service list 10 ftp tcp port 2021 
access-list 10 permit 10.1.1.1
Dirección de la fuente Puerto TCP de origen Dirección de destino Puerto TCP de destino
cualquier dirección local cualquier puerto 10.1.1.1 2021
cualquier dirección local cualquier puerto 10.1.1.1 21
cualquier dirección local cualquier puerto cualquier dirección local 21
cualquier dirección local cualquier puerto cualquier dirección local 21

Esta lista describe el proceso NAT que se detalla en la tabla anterior:

  • Primera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 2021 debe tener la traducción NAT necesaria de la carga útil.

  • Segunda línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 21 debe tener la traducción NAT necesaria de la carga útil.

  • Tercera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado a cualquier dirección local con el número de puerto TCP de destino 21 (puerto de control FTP típico) debe tener la traducción NAT necesaria de la carga útil. Por lo tanto, habilitando todos los servidores FTP que se ejecutan en el puerto 21 típico para tener la traducción NAT necesaria de la carga útil.

  • Cuarta línea: Un paquete originado desde 10.1.1.1 con cualquier número de puerto destinado a cualquier dirección local con el puerto TCP de destino 21 debe tener la traducción NAT necesaria de la carga útil.

Ejemplo de configuración 3

Suponga que estos servidores FTP se están ejecutando en su red local:

  • Servidor FTP con dirección IP 10.1.1.1 que se ejecuta en el puerto TCP número 21.

  • Servidores FTP con dirección IP 10.1.1.0/24 (distintos de 10.1.1.1) en el número de puerto TCP 2021. 

    ip nat service list 10 ftp tcp port 2021 
access-list 10 deny 10.1.1.1 
access-list 10 permit 10.1.1.0 0.0.0.255
Dirección de la fuente Puerto TCP de origen Dirección de destino Puerto TCP de destino
cualquier dirección local cualquier puerto 10.1.1.1 21
cualquier dirección local cualquier puerto 10.1.1.x (véase la nota) 2021
10.1.1.x (véase la nota) cualquier puerto Cualquier dirección distinta de 10.1.1.x (véase la nota) 21

Nota: 10.1.1.x no es igual a 10.1.1.1.

Esta lista describe el proceso NAT que se detalla en la tabla anterior:

  • Primera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 21 debe tener la traducción NAT necesaria de la carga útil.

    Nota: Los paquetes destinados a 10.1.1.1 con el puerto 2021 no tienen traducción de carga útil NAT debido a la sentencia deny 10.1.1.1 en la lista de acceso.

  • Segunda línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado a cualquier dirección local (que no sea 10.1.1.1) con el número de puerto TCP de destino 2021 debe tener la traducción NAT necesaria de la carga útil.

  • Tercera línea: Un paquete originado en cualquier 10.1.1.x (consulte la nota debajo de la tabla anterior) (que no sea 10.1.1.1) con cualquier número de puerto destinado a cualquier dirección (que no sea 10.1.1.x) con el puerto TCP de destino 21 necesita tener la traducción NAT necesaria de la carga útil.

Es importante recordar cuando se configura un puerto de control FTP no estándar para un servidor FTP, NAT detiene las sesiones de control FTP que utilizan el puerto 21 para ese servidor en particular. Si un servidor FTP utiliza tanto puertos estándar como no estándar, entonces necesita configurar ambos puertos mediante el comando ip nat service.

Ejemplo de situación y configuración

El servidor FTP 10.1.1.1 en el puerto TCP número 2021 se está ejecutando en la red interna. El router NAT está configurado para permitir que el tráfico FTP se convierta en NAT'ed para las conexiones de control en el puerto 2021.

Diagrama de la red

6.gif

Configuración: 

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
10-Aug-2005
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco