利用反向代理访问内网FTP站点漫谈

现在越来越多的人喜欢在家里办公或者在出差途中进行移动办公，有时需要通过家里的台式电脑或笔记本上网，并通过单位的局域网代理服务器从局域网的FTP服务器上下载文档资料，这就牵扯到如何利用反向代理访问内网FTP站点的问题了。本文所要探讨的就是如何在Windows2000/2003系统下架设FTP服务器，如何安装最新的代理服务器CCProxy以及如何实现上述的反向代理功能。

什么是FTP？

    众所周知，FTP(File  Transfer  Protocol  文件传输协议)是互联网上用来传送文件的协议。在互联网上通过FTP  服务器可以进行文件的上传(Upload)或下载(Download)。FTP是实时联机服务，在使用它之前必须是具有该服务的一个用户(用户名和口令)，工作时客户端必须先登录到作为服务器一方的计算机上，用户登录后可以进行文件搜索和文件传送等有关操作，如改变当前工作目录、列文件目录、设置传输参数及传送文件等。使用FTP可以传送所有类型的文件，如文本文件、二进制可执行文件、图象文件、声音文件和数据压缩文件等。

起初， FTP并不是应用于IP网络上的协议，而是ARPANET网络中计算机间的文件传输协议， ARPANET是美国国防部组建的老网络，于1960-1980年使用。在那时， FTP的主要功能是在主机间高速可靠地传输文件。

在互联网发展的早期阶段，用FTP传送文件约占整个互联网的通信量的三分之一，而由电子邮件和域名系统所产生的通信量还要小于FTP所产生的通信量。只是到了1995年，WWW的通信量才首次超过了FTP，所以从互联网的历史角度看，FTP发挥着极其重要的角色。

目前FTP仍然保持其可靠性，即使在今天，它还允许文件远程存取。这使得用户可以在某个系统上工作，而将文件存贮在别的系统。例如，如果某用户运行Web服务器，需要从远程主机上取得HTML文件和CGI程序在本机上工作，他需要从远程存储站点获取文件(远程站点也需安装Web服务器)。当用户完成工作后，可使用FTP将文件传回到Web服务器。采用这种方法，用户无需使用Telnet登录到远程主机进行工作，这样就使Web服务器的更新工作变得如此的轻松。

FTP是TCP/IP的一种具体应用，它工作在OSI模型的第七层，TCP模型的第四层上，即应用层，使用TCP传输而不是UDP，这样FTP客户在和服务器建立连接前就要经过一个被广为熟知的"三次握手"的过程，它带来的意义在于客户与服务器之间的连接是可靠的，而且是面向连接，为数据的传输提供了可靠的保证。

FTP并不像HTTP协议那样，只需要一个端口作为连接（HTTP的默认端口是80，FTP的默认端口是21），FTP需要2个端口，一个端口是作为控制连接端口，也就是21这个端口，用于发送指令给服务器以及等待服务器响应；另一个端口是数据传输端口，端口号为20（仅PORT模式），是用来建立数据传输通道的，主要有3个作用:

1) 从客户向服务器发送一个文件。

2) 从服务器向客户发送一个文件。

3) 从服务器向客户发送文件或目录列表。

我们利用Windows2000/2003系统中的IIS5.0(互联网信息服务组件)或者IIS6.0，该组件默认情况下不能被安装，使用时需要手工添加组件的方式进行安装，安装完成后，我们就可以利用IIS组件，能够方便快捷的组建一个局域网内部的FTP服务器。内部FTP服务器的IP地址可选用C类私有地址192.168.0.1-192.168.0.254中的任意一个较为合适，子网掩码为255.255.255.0。

打开服务器的“控制面板”，进入“管理工具”，选择“互联网 信息服务(IIS)管理器”，如下图1所示：

右键单击打开“默认FTP站点”的属性对话框，如图2所示。在图2中FTP站点选项卡中相应位置填上FTP站点标识，包括描述、IP地址、TCP端口。

在图3中的“安全帐户”中选择“允许匿名连接”，对于“只允许匿名连接”一般不选，这样可以通过其他机器来登录管理此FTP站点。

在图4中可为FTP选择路径，将本机中的某个文件夹作为FTP站点的主内容。

对于图5中的目录安全性，可用于限制局域网内的用户使用本FTP服务器，提高FTP站点的安全性，使用是可以采用“授权访问”和“拒绝访问”

至此，FTP服务器架设完成。此时，局域网内部任何一台机器都可以访问刚刚配置完成的FTP服务器了，只需要从命令提示符下通过ftp 192.168.0.1命令登录或者从IE登录，如图6所示。

什么是代理服务器？

代理服务器(Proxy Server)就是个人网络和互联网服务商之间的中间代理机构，它负责转发合法的网络信息，并对转发进行控制和登记。

目前使用的互联网是一个典型的客户机／服务器结构，当用户的本地机与互联网连接时，通过本地机的客户程序比如浏览器或者软件下载工具发出请求，远端的服务器在接到请求之后响应请求并提供相应的服务。

代理服务器处在客户机和服务器之间，对于远程服务器而言，代理服务器是客户机，它向服务器提出各种服务申请；对于客户机而言，代理服务器则是服务器，它接受客户机提出的申请并提供相应的服务。也就是说，客户机访问互联网时所发出的请求不再直接发送到远程服务器，而是被送到了代理服务器上，代理服务器再向远程的服务器提出相应的申请，接收远程服务器提供的数据并保存在自己的硬盘上，然后用这些数据对客户机提供相应的服务。

对于使用代理服务器上网的用户来说，合理设置并使用它有很多好处。

１、能加快对网络的浏览速度

代理服务器接收远程服务器提供的数据保存在自己的硬盘上，如果有许多用户同时使用这一个代理服务器，他们对互联网站点所有的要求都会经由这台代理服务器，当有人访问过某一站点后，所访问站点上的内容便会被保存在代理服务器的硬盘上，如果下一次再有人访问这个站点，这些内容便会直接从代理服务中获取，而不必再次连接远程服务器。因此，它可以节约带宽、提高访问速度。

２、节省IP开销

使用代理服务器时，所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。

３、可以作为防火墙

代理服务器可以保护局域网的安全，起到防火墙的作用：对于使用代理服务器的局域网来说，在外部看来只有代理服务器是可见的，其他局域网的用户对外是不可见的，代理服务器为局域网的安全起到了屏障的作用。另外，通过代理服务器，用户可以设置IP地址过滤，限制内部网对外部的访问权限。同样，代理服务器也可以用来限制封锁IP地址，禁止用户对某些网页的访问。

４、提高访问速度

通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大)，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。

５、方便对用户的管理

通过代理服务器，用户可以设置用户验证和记帐功能，对用户进行记帐，没有登记的用户无权通过代理服务器访问互联网。并对用户的访问时间、访问地点、信息流量进行统计。

最新代理服务器CCProxy的安装与设置

从 http://www.youngzsoft.com 下载最新的CCProxy软件。注意软件有版本号和发布日期，应确保版本号和发布日期都是最新的。CCProxy的功能大部分与Sygate、Wingate相同，是一个优秀的代理服务器软件。利用该软件我们可以很方便使局域网内的机器通过共享ADSL来访问外网的互联网资源，在本文中以CCProxy6.3.4演示版为例进行说明，如图7所示，演示版最多只提供3个用户，如果要使更多用户可以使用，请注册购买正式版本。

1）代理服务器的局域网设置

    如果服务器安装了两块网卡或者多块，在网卡IP设置上需要注意，不要将网卡的IP设置在一个网段内，这样会造成路由混乱。比如一块网卡是192.168.0.1，另一块网卡就不要设置成192.168.0.2，可以设置为192.168.1.1，如果是ADSL或者是校园网的用户，可从ISP处获得外网的公共IP地址或者是通过DHCP获得的自动分配的IP地址。

服务器的网卡一般不要设置网关，尤其是连接局域网的网卡，不要设置网关，否则很容易造成路由冲突。

如果没有配置好局域网，建议按照下面的方法配置局域网。分配好局域网机器的IP。一般是192.168.0.1、192.168.0.2、 192.168.0.3、…192.168.0.254， 其中服务器是192.168.0.1，其他IP地址为客户端的IP地址。子网掩码为255.255.255.0，DNS为192.168.0.1。比如我们前面所说的内网的FTP服务器就使用了地址192.168.0.2以及子网掩码255.255.255.0。

2）CCProxy启动失败原因

    如果CCProxy在安装完成后启动失败，原因是多方面的，包括以下几种：

1．服务器上安装了其他代理服务器软件，由于某些默认端口是相同的，很容易造成冲突。这时需要停用其他代理服务器。但您最好是在安装前将其反安装掉，因为有时停止不一定有效，有些代理服务器软件是作为NT服务方式运行的（关闭服务后，机器重启后又会自动运行）。同样客户端如果安装了某些代理服务器软件的客户端，也需要反安装，否则会影响客户端与代理服务器的通讯。

2．服务器缺省安装了Windows自带的DNS服务器。这种情况一般多发生在Win2000上。因为Win2000已经自动安装了DNS服务器，无需使用CCProxy的DNS服务，可以取消CCProxy的DNS代理：“设置” -> 取消"DNS"选项。

3．如果无需使用SOCKS v4代理(这是一种老代理协议，已经很少使用了)，可以取消CCProxy的DNS代理：“设置”—— 取消"DNS"选项。只有这个代理需要DNS服务。

4．另外由于在服务器上安装了杀毒软件、防火墙软件也有可能导致启动失败，原因是杀毒软件将这些代理所使用的端口关闭了，致使各类代理无法正常启动。笔者推荐您使用Norton杀毒软件（及其防火墙），经过实际测试和使用，CCProxy和Norton可以保持很好的兼容性。

怎样实现反向代理功能

    用户从异地通过互联网访问内部局域网，这就是反向代理功能。具体方法是：

1)假设局域网代理服务器IP为：192.168.0.1，必须直联互联网，也就是说此服务器同时可访问局域网网和互联网，其互联网IP为：202.192.237.133；

局域网FTP服务器IP为：192.168.0.2，开放了内部FTP服务，端口为21，并且使用IIS将FTP服务器按照前面所说的设置配置成功并进行测试；

远端机器（例如家里）互联网真实IP为：202.192.237.134；

2）在192.168.0.1上安装CCProxy；

3）在“设置”（如图8所示）—>“端口映射”里增加一个映射：192.168.0.2，TCP/IP协议，目标端口21，本地端口9999， 如图9所示。

4）在CCProxy账号中增加一个允许访问的账号（例如家里的IP）202.192.237.134或者采用其他办法进行配置。

5）那么在家里通过互联网访问：Ftp:// 202.192.237.133:8888 即可访问局域网的内部的FTP站点资源了。

（责任编辑：城尘 68476636-8003）