思科ASA FTP端口映射（为非标准21端口）

需求：在Internet 内有一台FTP服务器，默认FTP端口是21，但为了安全考虑把FTP的ftp端口改为3021，防火墙映射：
FTP穿透配置
当使用非默认的FTP端口（20,21）时，需要另外写一段命令来监视并跟踪FTP打开的临时端口，让这些端口能穿透防火墙。
否则，会出现输入用户名和密码就没反应的结果。

ASA5520# show version 
Cisco Adaptive Security Appliance Software Version 8.3(1) 
Compiled on Thu 04-Mar-10 16:56 by builders
System image file is "disk0:/asa831-k8.bin"
Config file at boot was "startup-config"

您可以使用这些配置行，为非标准 TCP 端口配置 FTP 协议检查（请用新端口号替换 XXXX）：

    access-list ftp-list extended permit tcp any any eq XXXX
    !
    class-map ftp-class
      match access-list ftp-list
    !
    policy-map global_policy
      class ftp-class
       inspect ftp   

NAT 配置

object network FTP_01 
 host 10.0.0.4
 nat (inside,outside) static x.x.x.3 service tcp ftp 3021

access-list in-2-out extended permit tcp host 10.0.0.4 any eq 3021 
access-group in-2-out out interface outside