一、前言

内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问因特网。内网的计算机可向因特网上的其它计算机发送连接请求，但因特网上的其它计算机无法向内网的计算机发送连接请求，所以无法用通常的方法去建立FTP服务器。

内网的IP地址有如下3种形式：

10...*
172.16.*.至172.31..*
192.168..

2、内网建FTP的两种方式

2.1、动态域名和虚拟专用法：

适于条件：不能够接触到网关服务器，无法做专业端口映射。

如：科迈网之动态域名和虚拟专用服务之内网专业版。（TrueHost）。

2.2、端口映射法：

适用条件：能够接触到网关服务器，并作端口映射。

如：端口映射软件PortTunnel。

3、关于域名

通过域名可以解决没有固定因特网IP的问题。如“花生壳”等。

上面2.1所提及的方法不需要另外的域名服务，因为本身已提供该服务。

4、关于Serv-U

一种常见的建立FTP的工具软件。

适用条件：有固定因特网IP地址。

方案二、Serv-U+花生壳

适用条件：有不固定因特网IP地址。

方案三、Serv-U+花生壳+PortTunnel端口映射

适用条件：内网IP，可控制网关服务器并设置端口映射。

方案四、Serv-U+TrueHost

适用条件：内网IP，不能控制网关服务器。

Serv-u 是著名的 FTP 服务端软件，可以方便地建立 FTP 服务器，下面详细解释 Serv-u 的安装、设置、使用和解答一些常见问题。

Serv-u 的最新版是 4.1.0.0 ，运行在 Windows 9x/ 2000/ NT/ XP 下；下载地址如文顶所示。

1.安装和普通设置

2.高级设置：

建立组 — 赋予组权限
修改服务端口
封锁访问者 IP
踢人
设置服务器回复信息

3.访问样例：

4.常见问题：

2. 选择安装路径

安装路径这点大家通常都会忽略，因为大家都有一个不良习惯：把所有程序都安装到默认的 %system%program files 下。普通软件是没有什么大问题的，但是这对于服务类软件和安全类软件是非常危险的，在默认情况下 user 对 program files 的权限是可访问可运行的，对于黑客来说，无需夺得管理员权限就可随意关掉你的防火墙病毒墙，把需要的文件共享，很简单就达到完全入侵的目的。

这是普通的Windows Media Player 目录属性 (可见 Serv-U 装在这里的话…)

3.安装后的简单向导

http://61.132.72.53/lb5000/usr/30/30_406_3.1.jpg

完成补丁按安装后 Serv-u 就变成中文版了，接下来的设置就会比较容易理解而且十分清晰。

Serv-u 支持建立多个域，即多个 FTP 服务器；但这些服务器不能同时使用相同的端口，必须每个服务器使用不同的端口，计算机的可用网络端口有 65535 个，扣除系统预留的端口，用户可以随意选择的端口还有很多。

下面介绍如何在一个空空如也的 Serv-u 中建立 FTP 服务器。

运行 Serv-u，展开《本地服务器》，右击新建域或直接按下 Insert。

如图所示：如使用动态 IP 地址的可以留空。

2. 添加新建域的域名

http://61.132.72.53/lb5000/usr/30/30_406_6.1.jpg

输入新建立的域名描述，可随意输入，这些只是标识而已。

3. 选择服务端口

默认的 FTP 端口是 21，您可以选择其他端口，但需要知会访问者。

http://61.132.72.53/lb5000/usr/30/30_406_7.1.jpg

4. 选择域类型

http://61.132.72.53/lb5000/usr/30/30_406_9.1.jpg

启用 DNS 选项可以在 TOZ.COM 申请一个动态域名解释服务(试用期30天)，这里不用理会。

5. 添加用户

这里可以添加两种用户，一种是有匿名访问权限的 Anonymous，另一种是必须输入用户名称和密码才能访问 FTP 服务。这两种用户我们都可以赋予不同的权限。

A. 添加匿名用户

与添加域名相似，右击域目录树下的用户选择添加用户或选中域目录树下的用户然后按 Insert。

输入 Anonymous

http://61.132.72.53/lb5000/usr/30/30_406_11.1.jpg

锁定目录

B. 添加权限约束用户

权限约束用户必须输入用户名和密码才能够登陆 FTP 服务器。
与添加匿名用户一样，步骤大致相同。
http://61.132.72.53/lb5000/usr/30/30_406_13.1.jpg

6. 设置用户权限

这里主要介绍用户的权限，这些权限包括文件权限、目录权限、子目录权限。文件权限包括：读取(Read)、写入(Write)、追加(Append)、删除(Delete)、执行(Execute)。

目录权限包括：列表(List)、创建(Create)、删除(Delete)。

子目录权限有继承(Inherit)。

http://61.132.72.53/lb5000/usr/30/30_406_17.1.jpg

文件权限：

读取(Read)：赋予用户读取(下载)文件的权限。
写入(Write)：赋予用户写入(上传)文件的权限。
追加(Append)：允许用户追加文件。
删除(Delete)：赋予用户删除文件的权限。
执行(Execute)：赋予用户执行文件的权限。请注意：这个权限是很危险的，一旦开放这个权限，用户可以上传恶意病毒文件并执行该文件，会给计算机造成无可估计的破快。

目录权限：
列表(List)：赋予用户浏览文件列表的权限，如果开放了读取全县但关闭列表权限，并不会影响用户的下载，只要用户知道详细的下载路径就行了。
创建(Create)：允许用户创建目录即创建文件夹。
删除(Delete)：允许用户删除目录，但不允许删除非空目录。
子目录权限：
继承(Inherit)：与 NTFS 继承一样，用户可以按照本级目录的权限访问下一级目录。

讯享网

1. 用户组的使用

与 Windows 2000/NT 一样，Serv-U 也有类似的用户组别管理机制，只需要按照所需的权限建立组，就无需再为每个用户重新定义权限了。
假设现有 Movie-con 组、Movie-adv 和 Upload 组，Movie-con 组织允许知道详细下载路径的用户下载文件，则 Movie-con 组就只需要有文件的读取和子目录继承两个权限就可以了。
http://61.132.72.53/lb5000/usr/30/30_406_18.1.jpg

只有 R—I (读取和继承) 权限的 Movie-con 组
Movie-adv 组可供用户登陆后浏览整个 FTP 服务器以选择需要下载的文件，则 Movie-adv 组就需要有文件读取、目录列表和子目录继承三个权限了。
http://61.132.72.53/lb5000/usr/30/30_406_19.1.jpg

拥有文件读取、目录列表、子目录继承的 Movie-adv 组
Upload 组需要有上传权限，则应赋予文件写入、目录列表以及子目录继承三个权限了。
http://61.132.72.53/lb5000/usr/30/30_406_20.1.jpg

只有文件上传、目录列表和子目录继承权限的 Upload 组
当相应权限的组建立后，就可以向组里面添加用户名
http://61.132.72.53/lb5000/usr/30/30_406_21.1.jpg

被列入 Movie-con 组的用户 movie 有自己的用户权限外还有组的权限
　

1. 修改服务器端口

   选中域后出现的域属性中可更改 FTP 服务器的端口 (丛 0 – 65535 )，默认值是 21。

   http://61.132.72.53/lb5000/usr/30/30_406_22.1.jpg

   3. 向访问者发送消息

   您可以向正在访问您的 FTP 的用户发送消息，如：您好，欢迎登陆，30 分钟后我将断开服务器，请使用支持断点续传的 FTP 下载软件访问。等等的这些提示消息，问候消息都可以被访问者接收到。
   选中域，在菜单栏上选中“窗口”，下拉菜单中选择 “消息”，也可以直接按 F2，但必须是在选中域的情况下。
   http://61.132.72.53/lb5000/usr/30/30_406_23.1.jpg

   http://61.132.72.53/lb5000/usr/30/30_406_25.1.jpg

2. 封锁访问者 IP 和踢人

   您喜欢的话可以封锁一个 IP 段或一个 IP，服务器会拒绝来自这个 IP 段或这个 IP 的访问。
   选中域，然后选中域的设置，再选择 IP 访问。
   http://61.132.72.53/lb5000/usr/30/30_406_27.1.jpg

   禁止来自 218.19.. - 218.20.255.255 IP 段的访问
   也可以单独踢人，选中域下的活动，在用户列表中选中用户，在右键菜单中选择踢除用户。

   http://61.132.72.53/lb5000/usr/30/30_406_28.1.jpg

   5. 设置服务器的回复消息

   6. 限制访问者的上传下载速率

   太多的用户访问把您的带宽都抢掉了，连浏览网页都变得像乌龟一样慢，您就需要限制访问者的上传和下载速率。
   选中需要限制的用户，在常规中的最大上传/下载速度中就可以指定该用户的速度了：
   http://61.132.72.53/lb5000/usr/30/30_406_30.1.jpg

   7. 设定整个服务器的高级设置

   ?常规设置：
   o最大速度：指定服务器的最大访问速度。
   o最大用户数量：指定服务机在同一时间内允许的访问者数量。
   o文件/目录只允许使用小写字母：指定所有文件和目录是否只使用小写字母。
   o禁用反超时调度：忽略由客户使用的普通方法饶过任务超时。
   o拦截“FTP_bounce”攻击和 FXP：只允许活动模式传送到客户 IP，也禁止直接的服务器到服务器的传送。
   o拦截连接超过 [ ] 次 于 [ ] 秒 [ ] 分钟：自动拦截企图登陆的用户，一般设定为 3 次。
   ?SSL 证书
   o指定使用 SSL 连接，高级用户适用。
   ?目录缓存
   o指定目录缓存大少以及监视缓存的使用情况。
   ?高级
   o服务器：
   加密密码：把密码储存于加密表单中。
   启用安全：强迫安全，禁止允许任何人在服务器上做任何事。
   信息包超时：信息包的超时时间。
   目录列表掩码：UNIX 风格访问掩码用于目录列表。
   PASV 端口使用范围：限制 PASV 的端口号，默认锁定为 1023 – 65535 之间。
   o文件上传：
   允许无权只读访问：先以无权身份访问上传文件，如失败则改用只读方式来访问。
   不允许访问：不允许任何人访问正在上传的文件。
   允许完全访问：允许其他用户访问正在上传的文件。
   适应超时：在上传期间，服务器自动适应上传时的超时。
   osockets：
   联机界外数据：解释 OOB 包到规则 TCP 流中。
   发送连接信号：定时发送信号确认连接是否没有断开。
   禁用 Nagle 运算法则：发送下一个包之前不等待等候信号。
   发送缓冲：指定发送的缓冲区大小。留空则自动调用堆栈。
   接收缓冲：指定接收的缓冲大区小。留空则自动调用堆栈。
   o文件下载：
   允许完全访问：允许其他客户或进程完全访问正在被下载的文件。
   允许读取访问：只允许其他用户或进程以只读方式访问正在被下载的文件。

   8. TIPS (提示)

3. 在设定域的时候需要注意，域必须设置正确，您可以设置为一个 IP 或一个域，访问者会根据域或者来访问的，若域名设置错误，则访问者会收到无法访问等消息。

   部分 FTP 访问软件访问 Serv-u 时的信息
   Internet Explorer
   打开 Internet Explorer，输入本地 FTP 地址，这里输入默认的本地 IP 127.0.0.1
   http://61.132.72.53/lb5000/usr/30/30_406_32.1.jpg

   Internet Explorer 的状态栏会显示这些信息：
   用户：匿名
   区域：Internet
   下载文件：选中需要的文件，在菜单栏中选中文件，然后选择 “复制到文件夹”或直接右击需要下载的文件，在右键菜单中选择“复制到文件夹”。
   Internet Explorer 的状态栏会显示这些信息：
   用户：匿名
   区域：Internet
   下载文件：选中需要的文件，在菜单栏中选中文件，然后选择 “复制到文件夹”或直接右击需要下载的文件，在右键菜单中选择“复制到文件夹”。

   http://61.132.72.53/lb5000/usr/30/30_406_33.1.jpg

   http://61.132.72.53/lb5000/usr/30/30_406_35.1.jpg

   http://61.132.72.53/lb5000/usr/30/30_406_36.1.jpg

   http://61.132.72.53/lb5000/usr/30/30_406_38.1.jpg

   六、常见问题

   1.为什么我启动 Serv-U 时提示无法启动？
   答：Serv-U 启动时用户应以该软件安装时的用户身份登陆，即使用 Power User 安装就最好使用 Power User 或以上的用户身份启动 Serv-U。
   启动时还需要注意，磁盘空间是否足够，当系统内存或许你内存严重不足时会发生无法启动 Serv-U 。

   6.上传/下载比率究竟是什么意思？
   答：这个比率指的是访问者如果同时在上传和下载的时候，上传和下载之间的比率分配。例如比率是 ¹⁄₂ 的话，那么访问者在上传一条线程时还可以用两条线程进行下载。

   7.我自己能访问，但别人不能访问，怎么回事？
   答：这里有几个可能，第一，您的防火墙把 FTP 的端口拦住了，例如 Norton 防火墙是只允许 21 出站而禁止进站。
   第二，如果访问者是利用域名访问您的话，您需要确保该域名确实能够访问到您。
   第三，如果您在内网，那么您还需要在您的上层出口主机或网络设备上设置好端口映射。
   第四，对方的访问方式的正确性，如果是对方输入错误而导致访问错误的话 … …

   10.我使用代理服务器上网，别人能访问到我吗？
   答：您可以在代理服务器上设置端口映射，把端口映射您的机器上就行了
   详细出处参考：http://www.jb51.net/article/13052.htm

   方案二、Serv-U+花生壳

   Serv-U 的设置楼上已经有介绍，下面介绍一下花生壳的设置。

   1、首先申请网域护照：

   http://www.oray.net/Console/Passpor…ort_welcome.asp

   http://61.132.72.53/lb5000/usr/30/30_406_40.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_42.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_43.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_44.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_46.1.gif

   "花生壳"是一套完全免费的动态域名解析服务。

   当您安装并注册该项服务，无论您在任何地点、任何时间、使用任何线路，均可利用这一服务建立拥有固定域名和最大自主权的互联网主机。

   "花生壳"支持的线路包括普通电话线、ISDN、xDSL、有线电视网络、双绞线到户的宽带网和其它任何能够提供互联网真实IP的接入服务线路，而无论连接获得的IP属于动态还是静态。

   对于使用动态IP接入的用户而言，您可以利用"花生壳"在办公室或家庭建立拥有固定域名的互联网主机。由于不受线路类型、主机存放地点的约束，所以您可以根据自己的需求选择合适的系统平台、数据库平台和站点运营模式，并由此获得最大限度的自主性。

   对于希望拥有个人网站的用户而言，您从今天开始就可以利用包月的宽带接入线路和"花生壳"把主机设在家中，而无须再忍受朝三暮四、从不顾用户感受、随意更改服务条款、利用你的个人网站来弹出他们的广告窗、还硬性限制网站流量的无良虚拟主机服务商。

   对于使用静态IP接入的用户而言，特别是使用独-立主机托管的用户，您可以利用"花生壳"提供的域名解析服务来避免在转换服务商时，不得不因受制域名解析服务商而忍受效率低下的修改过程，从而完全实现域名解析的自主性。

   设置端口映射的方法有多种。

   如：通过路由器设置；通过服务器上的网关软件（如SyGate、WinGate等）设置端口映射。

   这类方法的前提条件就是能够能路由器或服务器进行设置。如果不能控制路由器或服务器则请看方案四。

   本方案介绍的是用PortTunnel软件进行端口映射。Serv-U和花生壳的设置上面已进行了介绍。

   PortTunnel 软件进行端口映射的方法：

   http://61.132.72.53/lb5000/usr/30/30_406_49.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_50.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_51.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_52.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_53.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_55.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_56.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_57.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_58.1.gif

   http://61.132.72.53/lb5000/usr/30/30_406_59.1.gif

   3、该程序会在服务器启动时自动后台运行，因此设置完毕就可以了。

   如果机器是内网IP，且不能控制路由器或服务器则请看本方案。

   

   Serv-U的设置上面已进行了介绍。

   TrueHost 是由科迈网（动态域名、虚拟专用网）提供的服务。该服务提供免费试用一个月。

   （但并未限制您一个月后重新申请一个账号。）

   利用 TrueHost 进行端口映射方法：

   1、到 科迈网 申请一个二级域名：

   http://www.dns0755.net/

   2、对申请的二级域名信息在网站上进行修改。

   在其中的 端口 1 到 端口 5 中选择一个您喜欢的端口，把端口名改成 FTP （该端口名可以设置成任意的名称，但必须与下面要讲的客户端的名称一致）。

   修改后 提交， 让修改生效。

   3、下载客户端（绿色软件，不需要安装），运行。

   填入您申请的域名和密码。

   关键设置：端口名称必须和上面在网站中修改时设置的一致；端口号码必须和上面在网站修改时选择的一致。

   http://61.132.72.53/lb5000/usr/30/30_406_61.1.gif

   三、常见问题与补充说明：

   1、常见问题：

   （2）长宽用户（同样建议其它用户）请把FTP端口改成1024以后的端口，以增强安全性。

    

    

   2、补充说明：

   上面只是建立FTP的一些方法，所有内容来自网上。

   由于时间及条件限制，并没有一一测试。

   当然建立FTP有多种方案。这里抛砖引玉，欢迎大家把自己的建FTP的以验拿出来让大家一起分享。

   
   四、借花献佛：
   1、借花献佛之一：FTP状态代码说明
   FTP状态代码说明

   2、借花献佛之二：FTP中的两种工作方式

   FTP中的两种工作方式

   FTP支持两种模式,一种方式叫做Standard (也就是 Active,主动方式),一种是 Passive (也就是PASV,被动方式)。 Standard模式 FTP的客户端发送 PORT 命令到FTPserver。Passive模式FTP的客户端发送 PASV命令到 FTP Server。

   下面介绍一个这两种方式的工作原理:

   Standard模式FTP 客户端首先和FTP Server的TCP 21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。

   Passive模式在建立控制通道的时候和Standard模式类似，当客户端通过这个通道发送PASV 命令的时候，FTP server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求，然后FTP server 将通过这个端口进行数据的传送，这个时候FTP server不再需要建立一个新的和客户端之间的连接。

   现在的FTP软件里面包括在IE5以上的版本里面也已经支持这两种模式了。一般一些FTP客户端的软件就比较好设置了，一般都有一个PASV的选项，比如CuteFTP，传输的方式都有Standard和PASV的选项，可以自己进行选择；另外在IE里面如果要设置成PASV模式的话可以选中工具－Internet选项－高级－为FTP站点启用文件夹视图，否则就采用Standard模式。

   很多防火墙在设置的时候都是不允许接受外部发起的连接的，所以FTP的Standard模式在许多时候在内部网络的机器通过防火墙出去的时候受到了限制，因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接，造成无法工作。当然也可以设置成功，首先要创建一条规则就是允许内部的IP连接外部的IP的21端口；第二条就是禁止外部IP的TCP 20端口连接内部IP的<1024的端口，这条是为了防止外部连接内部的常规端口；第三条验证ACK是否等于1，这个的原理就参见TCP建立连接的三次握手吧。所以如果安全的配置的话非常困难，这个时候就想起来了PASV模式，因为不用建立新的连接，所以也就不会涉及到后面的问题了。但是管理员可能不想使用PASV模式，因为这个时候FTP Server会开放一个随机的高端口，尽管在IIS4和IIS5里面端口的范围是1024－5000，但是许多FTP Server的端口范围达到了1024－65535，这个时候在这个主动开放的随机端口上是有完全的访问权限的，如果IIS也要设置成开放的端口为1024－65535，具体方法如下：

   1. regedt32

   2. 找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

   所以如果遇到了有防火墙的话或者怕配置麻烦的话还是采用PASV模式比较好些，但是如果真的对安全的需求很高的话建议采用Standard模式。

   以上是转载的，本来图文并茂，可惜这个版快的贴图功能没有打开，所以只好麻烦大家自己一个一个点链接啦。

   其实以上的方法只是比较常用的方法，未必就是最好的方法。对于初上手的人比较合适。希望大家有什么心得体会可以一一告知。

   以下是我自己据的比较好的另一种内网建立ftp的方法。

   我简单介绍一下步骤：一、先取得一个软件 网络通客户端（Internal Server） 详细地址在 http://www.infoscape.com.cn/tcpnewv…eb/download.htm ;
   其中里面的下载一、网络通客户端（含帮助文件,1179k） 下载二、网络通客户端（不含帮助文件,115k）都一样随便下一个就好
   二、在 http://www.infoscape.com.cn/tcpt … pTunnelRegister.htm ;中注册要填写一些基本信息,别怕麻烦,一会就好
   三、注册好了么？OK,让我们登陆里面有一些设置,简单,如下设置
   请选择服务类别： FTP
   虚拟域名： 注册名.infoscape.com.cn (就是你开始注册的名字)

   内部网站IP： 就按ISP给你的IP地址设置,如果不知道就看看自己网络TCP/IP的协议,如果还是不清楚就打开一个DOS方式敲入IPCONFIG 其中IP Address.后面的那个IP地址就是你的了,把那个填进去吧,没错.

   Port: 就按你的FTP服务上的端口设置就好.

   内部域名： 这个无所谓拉，

   上面都好了么?如果好了的话就点添加吧.

   四、安装开始下载好的那个 网络通客户端 填写你开始注册好的用户名字和密码点应用然后点确定.

   五、OK,一切设置完毕,现在让我们在FTP服务软件上添加一个新帐号列如:
   用户名 Download
   密码 MyFtp
   设置好后用以下形式来使用
   1、在使用FTP时，连接的主机不是你内部主机的IP地址，而是tcptunnel.infoscape.com.cn
   2、用户名的形式是：FTP用户名&注册的虚拟域名
   假如我开始注册的用户名是 ftpftp
   FTP服务器为 tcptunnel.infoscape.com.cn
   FTP用户名字 Download&ftpftp.infoscape.com.cn
   FTP用户密码 MyFtp

   六、另外要注意一点的就是尽量不使用FTP服务的默认21端口,如果你的网关上或者是本机上存在这个端口占用的话那么将无法使用,解决办法:换一个端口就好。

   
   不过要注意的是这个方法只能用一个礼拜。
   详细出处参考：http://www.jb51.net/article/13052_2.htm