关闭

主动FTP与被动FTP...

929人阅读 评论(0) 收藏 举报

昨晚用Ser-U架设一FTP服务器,远程用户虽能登录,却看不到任何文件,我关闭FTP服务器的防火墙后,一切正常了。

我就奇怪了,难道不关闭防火墙就不能满足我们的要求吗?为些我从网上找了些有关FTP的资料...

 

主动FTP

主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>;1024)连接到FTP服务器的命令端口,也就是21端口。

然后客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)

连接到客户端指定的数据端口(N+1)。

针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:

 

1.任何端口到FTP服务器的21端口 (客户端初始化的连接 S<-C)
 
2.FTP服务器的21端口到大于1023的端口(服务器响应客户端的控制端口 S->C)

3.FTP服务器的20端口到大于1023的端口(服务器端初始化数据连接到客户端的数据端口 S->C)

4.大于1023端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口 S<-C)

下面的图表会帮助管理员们记住每种FTP方式是怎样工作的:

主动FTP:

命令连接:客户端 >1023端口 -> 服务器 21端口

数据连接:客户端 >1023端口 <- 服务器 20端口

被动FTP:

命令连接:客户端 >1023端口 -> 服务器 21端口

数据连接:客户端 >1023端口 -> 服务器 >1023端口


被动FTP

为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。

这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。

在被动方式FTP中,命令连接和数据连接都由客户端,

这样就可以解决从服务器到客户端的数据端口的连接被防火墙过滤掉的问题。

当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。

第一个端口连接服务器的21端口,但与主动方式的FTP不同,

客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。

这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。

然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:

 

1.从任何端口到服务器的21端口 (客户端初始化的连接 S<-C)

2.服务器的21端口到任何大于1023的端口 (服务器响应到客户端的控制端口的连接 S->C)

3.从任何端口到服务器的大于1023端口 (入;客户端初始化数据连接到服务器指定的任意端口 S<-C)

4.服务器的大于1023端口到远程的大于1023的端口(出;服务器发送ACK响应和数据到客户端的数据端口 S->C)

 

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:3357516次
    • 积分:30977
    • 等级:
    • 排名:第165名
    • 原创:403篇
    • 转载:402篇
    • 译文:402篇
    • 评论:416条
    文章分类
    最新评论