Tftp через фаєрвол як це працює
/ TFTP через фаєрвол: Як це працює?
Використання протоколу TFTP часто викликає утруднення в мережах, оснащених міжмережевими екранами або засобами NAT. Це пов'язано з тим, що протокол TFTP використовує в якості транспорту UDP, а також зі способом організації передачі файлів.
Налаштування, необхідні для роботи TFTP в захищеної мережі, залежать від розташування клієнтів і сервера TFTP щодо файрволу. У найпростішому випадку сервер TFTP знаходиться в захищеній мережі, а клієнти - перед файрволом. При правильному налаштуванні файлвола проблем тут як правило не виникає. Для коректної роботи сервера TFTP в цій мережі необхідно виконати на брандмауера наведене нижче
Ситуація ускладнюється, якщо необхідно забезпечити доступ клієнтів з захищеної мережі до зовнішнього сервера TFTP. Запитуючи файл, клієнт відправляє зі випадково обраного порту UDP на порт UDP 69 сервера TFTP пакет TFTP RRQ. Так як пакет відправляється з більш захищеної мережі в менш захищену, файрвол пересилає його серверу TFTP. При пересиланні пакета файрвол додає в таблицю трансляції запис, що відповідає з'єднанню по протоколу UDP між обраним портом клієнта і портом 69 сервера TFTP. Згідно RFC 1350, сервер відправляє клієнту з випадково обраного порту пакет TFTP DATA. Однак, файрвол відкидає цей пакет, так як не може знайти в таблиці трансляції існуюче з'єднання між обраним портом сервера і портом клієнта.
Пристрої, подібні Cisco PIX, можуть переглядати проходить трафік TFTP і динамічно додавати записи в таблицю трансляції, що дозволяють проходження відповідей TFTP із зовнішньої мережі в мережу підприємства. Для включення даного режиму на брандмауера Cisco PIX служить команда fixup protocol tftp.
Інший спосіб вирішення проблеми - змусити сервер TFTP використовувати порт 69 не тільки для прийому запитів, але і для відправки відповідей клієнтам. В цьому випадку файрвол буде коректно пересилати відповіді клієнту відповідно до наявної в таблиці трансляції записом. Ви можете включити цей режим роботи в WinAgents TFTP Server, встановивши опцію 'Enable firewall support' у вікні налаштувань програми.