應該有不少使用IIS自帶的FTP服務器,IIS的FTP裡的PASV模式下默認端口范圍1024 - 65535,連接時會從中隨機選擇到響應。這樣的超大范圍就給服務器安全帶來的隱患,雖然可以通過一些方法減少端口范圍,但范圍都不能縮小到理想的范圍內,正常情況下PASV的端口最多會使用到10個吧,就算是專門的FTP下載服務器最多20個也就夠了。下面說說使用IIS管理實用程序Adsutil.vbs修改FTP服務器的PASV端口的范圍:
使用命令行根據順序執行
cd c:\Inetpub\AdminScripts
adsutil.vbs set /MSFTPSVC/PassivePortRange "10000-10009"
有可能有的服務器已經進行過安全配置,這樣直接執行會提示失敗信息,就需要使用cscript了,使用管理員用戶登陸,繼續命令行根據順序執行以下命令
cd c:\Inetpub\AdminScripts
cscript adsutil.vbs set /MSFTPSVC/PassivePortRange "10000-10009"
本例開放指定的10個端口10000到10009
執行完畢後重新啟動 FTP 服務,如果啟動了防火牆,在防火牆中加這幾個端口的例外。
至此,端口更改完畢