FTP服務2種工作方式詳解,PORT方式和PASV方式

2種模式都是從服務器角度出發(fā)的，主動就是服務器主動連接客戶機，被動就是服務器做監(jiān)聽，等客戶機來連接PORT主動模式：命令發(fā)送后是由client建立N+1端口監(jiān)聽，然后讓Server的N-1端口（默認為20）來連接這個端口，所以client需要開放1024以上端口。Flashfxp可以指定port端口范圍，方便設置防火墻PASV被動模式：命令發(fā)送后是由server建立1024以上端口監(jiān)聽（serv-u可以指定PASV監(jiān)聽端口范圍），client用1024以上端口來連接。整個過程server沒有用到20（N-1）端口一、ftp的port和pasv模式的工作方式FTP使用2個TCP端口，首先是建立一個命令端口（控制端口），然后再產(chǎn)生一個數(shù)據(jù)端口。國內(nèi)很多教科書都講ftp使用21命令端口和20數(shù)據(jù)端口，這個應該是教書更新太慢的原因吧。實際上FTP分為主動模式和被動模式兩種，ftp工作在主動模式使用tcp21和20兩個端口，而工作在被動模式會工作在大于1024隨機端口。FTP最權(quán)威的參考見RFC959,有興趣的朋友可以仔細閱讀/documents/rfc/rfc0959.txt的文檔了解FTP詳細工作模式和命令。目前主流的FTPServer服務器模式都是同時支持port和pasv兩種方式，但是為了方便管理安全管理防火墻和設置ACL了解FTPServer的port和pasv模式是很有必要的。1.1ftpport模式（主動模式）主動方式的FTP是這樣的：客戶端從一個任意的非特權(quán)端口N（N>1024）連接到FTP服務器的命令端口（即tcp21端口）。緊接著客戶端開始監(jiān)聽端口N+1，并發(fā)送FTP命令“portN+到FTP服務器。最后服務器會從它自己的數(shù)據(jù)端口（20）連接到客戶端指定的數(shù)據(jù)端口（N+1），這樣客戶端就可以和ftp服務器建立數(shù)據(jù)傳輸通道了。ftpport模式工作流程如下圖所示：ServerCLieiit.ServerCLieiit.針對FTP服務器前面的防火墻來說，必須允許以下通訊才能支持主動方式FTP：1、客戶端口>1024端口到FTP服務器的21端口（入：客戶端初始化的連接S<-C）2、FTP服務器的21端口到客戶端>1024的端口（出：服務器響應客戶端的控制端口S->C）3、FTP服務器的20端口到客戶端〉1024的端口（出:服務器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口S->C）4、客戶端>1024端口到FTP服務器的20端口（入：客戶端發(fā)送ACK響應到服務器的數(shù)據(jù)端口S<-C）如果服務器的ip為在H3C8500的GigabitEthernet2/1/10上創(chuàng)建inacl策略允許ftp主動模式其他禁止：rulepermittcpsource0source-porteq21destination-portgt1024rulepermittcpsource0source-porteq20destination-portgt1024reledenyip1.2ftppasv模式（被動模式）在被動方式FTP中，命令連接和數(shù)據(jù)連接都由客戶端。當開啟一個FTP連接時，客戶端打開兩個任意的非特權(quán)本地端口（N>1024和N+1）。第一個端口連接服務器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令并允許服務器來回連它的數(shù)據(jù)端口，而是提交PASV命令。這樣做的結(jié)果是服務器會開啟一個任意的非特權(quán)端口（P>1024），并發(fā)送PORTP命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務器的端口P的連接用來傳送數(shù)據(jù)。ftppasv模式工作流程如下圖所示：對于服務器端的防火墻來說，必須允許下面的通訊才能支持被動方式的FTP:1、客戶端>1024端口到服務器的21端口（入：客戶端初始化的連接S<-C）2、服務器的21端口到客戶端>1024的端口（出：服務器響應到客戶端的控制端口的連接S->C）3、客戶端>1024端口到服務器的大于1024端口（入：客戶端初始化數(shù)據(jù)連接到服務器指定的任意端口S<-C）4、服務器的大于1024端口到遠程的大于1024的端口（出：服務器發(fā)送ACK響應和數(shù)據(jù)到客戶端的數(shù)據(jù)端口S->C）如果服務器的ip為在H3C8500的GigabitEthernet2/1/10上創(chuàng)建inacl策略允許ftp主動模式其他禁止：rulepermittcpsource0source-porteq21destination-portgt1024rulepermittcpsource0source-portgt1024destination-portgt1024reledenyip二、ftp的port和pasv模式的工作方式ftp的port和pasv模式最主要區(qū)別就是數(shù)據(jù)端口連接方式不同，ftpport模式只要開啟服務器的21和20端口，而ftppasv需要開啟服務器大于1024所有tcp端口和21端口。重網(wǎng)絡安全的角度來看的話似乎ftpport模式更安全，而ftppasv更不安全，那么為什么RFC要在ftpport基礎再制定一個ftppasv模式呢？其實RFC制定ftppasv模式的主要目的是為了數(shù)據(jù)傳輸安全角度出發(fā)的，因為ftpport使用固定20端口進行傳輸數(shù)據(jù)，那么作為黑客很容使用sniffer等探嗅器抓取ftp數(shù)據(jù)，這樣一來通過ftpport模式傳輸數(shù)據(jù)很容易被黑客竊取，因此使用pasv方式來架設ftpserver是最安全絕佳方案。如果作為一個有經(jīng)驗的網(wǎng)絡管理員就會發(fā)現(xiàn)使用ftppasv方式會給網(wǎng)絡安全很大隱患，那就是ftppasv需要開啟服務器tcp大于1024所有端口，這樣對服務器的安全保護是非常不利的。在此我建議兩種方法來完善FTPPasv模式的端口開放問題，第一種就是使用弱洞掃描工具比如Xscan找出服務器開放的端口然后使用acl把端口deny掉，另外一種方法就是使用具有狀態(tài)檢測防火墻開啟ftppasv的端口。在ftppasv模式下是使用狀態(tài)檢測防火墻比acl最大的好處就是使用狀態(tài)檢測防火墻只要開啟ftp21端口就可以了，狀態(tài)檢測防火墻會檢測客戶端口連接ftpserver的21命令端口，一但檢測客戶端使用ftp21命令端口然后就會允許這個Session使用ftp服務器大于1024端口，而其他方式是無法直接訪問ftp服務器大于1024端口。通過狀態(tài)檢測防火墻就可以保證ftp服務器大于1024端口只對FTPSession開放了。目前像IPTable、ISAServer2000/2004/2006、以及主流硬件防火墻都可以支持狀態(tài)檢測。參考/share/detail/251462/xianyang1981/blog/item/f17d6f6d8650c0f842169427.html引用

FTP協(xié)議有兩種工作方式：PORT方式和PASV方式，（為主動式和被動式）主動：客戶端向服務器的FTP端口（默認是21）發(fā)送連接請求，服務器接受連接，建立一條命令鏈路。被動：客戶端向服務器的FTP端口（默認是21）發(fā)送連接請求，服務器接受連接，建立一條命令鏈路也就是主動被動基本情況下都是21端口發(fā)送的請求命令。我憑自己的學習感覺大家可能在學習初期對公網(wǎng)和內(nèi)網(wǎng)的FTP的兩種工作方式會容易弄混；我就藍簡單說一下重點吧。客戶端只有內(nèi)網(wǎng)IP，沒有公網(wǎng)IP從上面的FTP基礎知識可知，如果用PORT方式，因為客戶端沒有公網(wǎng)IP，F(xiàn)TP將無法連接客戶端建立數(shù)據(jù)鏈路。因此，在這種情況下，客戶端必須要用PASV方式，才能連接FTP服務器。大部分FTP站長發(fā)現(xiàn)自己的服務器有人能登錄上，有人登錄不上，典型的錯誤原因就是因為客戶端沒有公網(wǎng)IP，但用了IE作為FTP客戶端來登錄在主動模式中，F(xiàn)TP的兩個端口是相對固定的，如果命令端口是x的話，那數(shù)據(jù)端口就是x-1，也就是說默認情況下，命令端口是21，數(shù)據(jù)端口就是20;你把命令端口改成了600，那么數(shù)據(jù)端口就是599。這樣使用防火墻就很方便了，只要開通這兩個端口就可以了，但是如果客戶端是共享上網(wǎng)的話那豈不是不能正常使用FTP了，這樣還是不行，一定需要被動模式。NAT網(wǎng)關(guān)的工作方式是在TCP/IP數(shù)據(jù)包的包頭里找局域網(wǎng)的源地址和源端口，替換成網(wǎng)關(guān)的地址和端口。對數(shù)據(jù)包里的內(nèi)容，是不會改變的。而使用PORT方式登錄FTP的時候，IP地址與端口信息是在數(shù)據(jù)包里面的，而不是在包頭。因此，沒有公網(wǎng)IP，使用PORT方式是無法從internet上的ftp服務器下載數(shù)據(jù)的。但是，極少數(shù)的NAT網(wǎng)關(guān)也支持PORT方式。這些NAT網(wǎng)關(guān)連數(shù)據(jù)包里面的內(nèi)容都掃描，掃描到PORT指令后會替換PORT方式的IP和端口。在這種NAT網(wǎng)關(guān)下面，用PORT方式就沒問題了。不過，這些網(wǎng)關(guān)也只掃描21端口的數(shù)據(jù)包，如果FTP服務器不是用默認的21端口，也無法使用POR