一.FTP信息
1.主动模式
在主动模式的 FTP 中,客户端从一个随机的非系统端口(N > 1023)连接到 FTP 服务器的命令端口端口 21。然后,客户端开始监听端口 N+1,并将 FTP 命令端口 N+1 告诉 FTP 服务器,“请把数据发送给我的 N+1 端口”。然后,服务器将从本地数据端口 (端口20) 连接回客户端的数据端口,也就是 N+1 端口。
因为服务器防火墙的隔离作用,我们应该确保服务器 FTP 到客户端的一下几个通道的畅通:
FTP 服务器端口 21 (接受全部客户端)
FTP 服务器端口 21 到 > 1023 的端口 ( 服务器响应客户端控制端口 )
FTP 服务器端口 20 到 > 1023 的端口 ( 服务器发起到客户端的数据端口的连接 )
从 > 1023的端口到 FTP 服务器端口 20 ( 客户端发送 ack 到服务器的数据端口 )
第 1 步,客户端的命令端口与服务器的命令端口连接并发送命令端口 1027。然后,服务器在第 2 步时将一个 ACK 发送回客户端的命令端口。第 3 步,服务器在其本地数据端口上启动连接,连接到前面指定的客户端的数据端口。最后,客户端返回 ACK,如第 4 步所示。
主动模式的 FTP 主要问题实际上落在客户端。FTP 的客户端并不会主动连接到服务器的数据端口,而是是告诉服务器它正在监听哪个端口,然后服务器发起连接到客户端上指定的端口。但是,这样的连接有时候会被客户端的防火墙阻止。‘
2.被动模式
为了解决服务器主动发起到客户端连接会北阻止的问题,另一种更完善的工作模式出现了,它就是 FTP 的被动模式,缩写作 PASV,它工作的前提是客户端明确告知 FTP 服务器它使用被动模式。
在被动模式的 FTP 中,客户端启动到服务器的两个连接,解决了防火墙阻止从服务器到客户端的传入数据端口连接的问题。FTP 连接建立后,客户端在本地打开两个随机的非系统端口 N 和 N + 1(N > 1023)。第一个端口连接服务器上的 21 端口,但是客户端这次将会发出 PASV 命令,也就是不允许服务器连接回其数据端口。这样,服务器随后会打开一个随机的非系统端口 P (P > 1023),并将 P 发送给客户端作为 PASV 命令的响应。然后客户端启动从端口 N+1 到端口 P 的连接来传输数据。
在被动模式中,要保持一下通道的畅通:
FTP服务器的 21 端口(接受所有客户端)
FTP服务器的 21端口到 > 1023 的远程端口 ( 服务器响应客户端控制端口 )
FTP服务器 > 1023 的端口(接受所有客户端发起的连接到服务器指定的随机端口)
FTP服务器 > 1023 的端口到 > 1023 的远程端口(服务器发送 ack 和数据到客户端数据端口)
第 1 步,客户端在命令端口上与服务器连接,并发出 PASV 命令。然后,服务器在第 2 步时使用端口 2024 进行响应,告诉客户端它正在监听的数据连接端口。第 3 步,客户端启动从其数据端口到指定服务器数据端口的数据连接。最后,服务器在第 4 步将 ACK 发送回客户端的数据端口。
服务器防火墙需要给 FTP 的被动模式开放一个端口范围允许所有客户端连接,比如 5000 - 6000。
以上关于主动和被动FTP的解释,可以简单概括为以下两点:
1、主动FTP:
命令连接:客户端 >1024端口 -> 服务器 21端口
数据连接:客户端 >1024端口 <- 服务器 20端口
2、被动FTP:
命令连接:客户端 >1024端口 -> 服务器 21端口
数据连接:客户端 >1024端口 -> 服务器 >1024端口
3. 主动与被动FTP优缺点
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
二.匿名
#匿名访问测试
在windows系统打开开始菜单,输入cmd 命令打开命令提示符#建立ftp连接
ftp 192.168.80.10
#匿名访问,用户名为ftp,密码为空,直接回车即可完成登录ftp> pwd
#匿名访问ftp的根目录为Linux系统的/var/ftp/目录
ftp> ls
#查看当前目录
ftp> cd pub
#切换到pub目录
ftp> get文件名#下载文件到当前windows本地目录ftp> put文件名#上传文件到ftp目录
ftp> quit
#退出
1.开启服务,关闭防火墙和增强型安全功能
systemctl start vsftpd
systemctl stop firewalld
setenforce o
2.下载vsftpd
yum install -y vsftpd
cd /etc/vsftpd/
cp vsftpd.conf vsftpd.conf.bak
3.设置文件
vim letc/vsftpd/vsftpd. conflocal_enable=Yes
#启用本地用户
anonymous_enable=NO
#关闭匿名用户访问
write_enable=YES
#开放服务器的写权限(若要上传,必须开启)
local_umask=077
#可设置仅宿主用户拥有被上传的文件的权限(反掩码)
chroot_local_user=YES
#将访问禁锢在用户的宿主目录中
allow_writeable chroot=YES
#允许被限制的用户主目录具有写权限
#anon mkdir write enable=YES注释
#anon_other write enable=YES注释
4.重启服务
systemctl restart vsftpd
ftp 192.168.10.12
5.使用user_list用户列表文件
vim letc/vsftpd/user_list zhangsan//末尾添加zhangsan用户
vim letc/vsftpd/vsftpd.conf
userlist_enable=YEs#启用user_list用户列表文件userlist_deny=NO
#设置白名单,仅允许user_list用户列表文件的用户访问。默认为YEs,为黑名单,禁用
三.本地用户
1.开启服务,关闭防火墙和增强型安全功能
systemctl start vsftpd
systemctl stop firewalld
setenforce o
2.下载vsftpd
yum install -y vsftpd
cd /etc/vsftpd/
cp vsftpd.conf vsftpd.conf.bak
3.修改配置文件
vim /etc/vsftpd/vsftpd. conf
local_enable=Yes
#启用本地用户
anonymous_enable=NO
#关闭匿名用户访问
write_enable=YES
#开放服务器的写权限(若要上传,必须开启)
local_umask=077
#可设置仅宿主用户拥有被上传的文件的权限(反掩码)
chroot_local_user=YES
#将访问禁锢在用户的宿主目录中
allow_writeable_chroot=YES
#允许被限制的用户主目录具有写权限
#anon_ mkdir_write_enable=YEs注释
#anon_other_write_enable=YES注释
4.重启服务
systemctl restart vsftpd
ftp 192.168.10.12