转!!ftp的主动模式(port)与被动模式(PASV)
生活随笔
收集整理的這篇文章主要介紹了
转!!ftp的主动模式(port)与被动模式(PASV)
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
轉(zhuǎn)自?http://www.phpweblog.net/killjin/archive/2008/01/06/2653.html ftp中主動(dòng)模式(port)與被動(dòng)模式(PASV) 任何端口到FTP服務(wù)器的21端口?(客戶端初始化的連接?S<-C)? FTP服務(wù)器的21端口到大于1023的端口(服務(wù)器響應(yīng)客戶端的控制端口?S->C)? FTP服務(wù)器的20端口到大于1023的端口(服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口?S->C)? 大于1023端口到FTP服務(wù)器的20端口(客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口?S<-C)?
畫(huà)出來(lái)的話,連接過(guò)程大概是下圖的樣子:?
?
在第1步中,客戶端的命令端口與FTP服務(wù)器的命令端口建立連接,并發(fā)送命令“PORT?1027”。然后在第2步中,FTP服務(wù)器給客戶端的命令端口返回一個(gè)"ACK"。在第3步中,FTP服務(wù)器發(fā)起一個(gè)從它自己的數(shù)據(jù)端口(20)到客戶端先前指定的數(shù)據(jù)端口(1027)的連接,最后客戶端在第4步中給服務(wù)器端返回一個(gè)"ACK"。?
主動(dòng)方式FTP的主要問(wèn)題實(shí)際上在于客戶端。FTP的客戶端并沒(méi)有實(shí)際建立一個(gè)到服務(wù)器數(shù)據(jù)端口的連接,它只是簡(jiǎn)單的告訴服務(wù)器自己監(jiān)聽(tīng)的端口號(hào),服務(wù)器再回來(lái)連接客戶端這個(gè)指定的端口。對(duì)于客戶端的防火墻來(lái)說(shuō),這是從外部系統(tǒng)建立到內(nèi)部客戶端的連接,這是通常會(huì)被阻塞的。?
主動(dòng)FTP的例子?
下面是一個(gè)主動(dòng)FTP會(huì)話的實(shí)際例子。當(dāng)然服務(wù)器名、IP地址和用戶名都做了改動(dòng)。在這個(gè)例子中,FTP會(huì)話從?testbox1.slacksite.com?(192.168.150.80),一個(gè)運(yùn)行標(biāo)準(zhǔn)的FTP命令行客戶端的Linux工作站,發(fā)起到testbox2.slacksite.com?(192.168.150.90),一個(gè)運(yùn)行ProFTPd?1.2.2RC2的Linux工作站。debugging(-d)選項(xiàng)用來(lái)在FTP客戶端顯示連接的詳細(xì)過(guò)程。紅色的文字是?debugging信息,顯示的是發(fā)送到服務(wù)器的實(shí)際FTP命令和所產(chǎn)生的回應(yīng)信息。服務(wù)器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。?
仔細(xì)考慮這個(gè)對(duì)話過(guò)程我們會(huì)發(fā)現(xiàn)一些有趣的事情。我們可以看到當(dāng)?PORT?命令被提交時(shí),它指定了客戶端(192.168.150.80)上的一個(gè)端口而不是服務(wù)器的。當(dāng)我們用被動(dòng)FTP時(shí)我們會(huì)看到相反的現(xiàn)象。我們?cè)賮?lái)關(guān)注PORT命令的格式。就象你在下面的例子看到的一樣,它是一個(gè)由六個(gè)被逗號(hào)隔開(kāi)的數(shù)字組成的序列。前四個(gè)表示IP地址,后兩個(gè)組成了用于數(shù)據(jù)連接的端口號(hào)。用第五個(gè)數(shù)乘以256再加上第六個(gè)數(shù)就得到了實(shí)際的端口號(hào)。下面例子中端口號(hào)就是(?(14*256)?+?178)?=?3762。我們可以用netstat來(lái)驗(yàn)證這個(gè)端口信息。?
testbox1:?{/home/p-t/slacker/public_html}?%?ftp?-d?testbox2?
Connected?to?testbox2.slacksite.com.?
220?testbox2.slacksite.com?FTP?server?ready.?
Name?(testbox2:slacker):?slacker?
--->?USER?slacker?
331?Password?required?for?slacker.?
Password:?TmpPass?
--->?PASS?XXXX?
230?User?slacker?logged?in.?
--->?SYST?
215?UNIX?Type:?L8?
Remote?system?type?is?UNIX.?
Using?binary?mode?to?transfer?files.?
ftp>?ls?
ftp:?setsockopt?(ignored):?Permission?denied?
--->?PORT?192,168,150,80,14,178?
200?PORT?command?successful.?
--->?LIST?
150?Opening?ASCII?mode?data?connection?for?file?list.?
drwx------???3?slacker????users?????????104?Jul?27?01:45?public_html?
226?Transfer?complete.?
ftp>?quit?
--->?QUIT?
221?Goodbye.?
被動(dòng)FTP?
為了解決服務(wù)器發(fā)起到客戶的連接的問(wèn)題,人們開(kāi)發(fā)了一種不同的FTP連接方式。這就是所謂的被動(dòng)方式,或者叫做PASV,當(dāng)客戶端通知服務(wù)器它處于被動(dòng)模式時(shí)才啟用。?
在被動(dòng)方式FTP中,命令連接和數(shù)據(jù)連接都由客戶端,這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過(guò)濾掉的問(wèn)題。當(dāng)開(kāi)啟一個(gè)FTP連接時(shí),客戶端打開(kāi)兩個(gè)任意的非特權(quán)本地端口(N?>;?1024和N+1)。第一個(gè)端口連接服務(wù)器的21端口,但與主動(dòng)方式的FTP不同,客戶端不會(huì)提交PORT命令并允許服務(wù)器來(lái)回連它的數(shù)據(jù)端口,而是提交PASV命令。這樣做的結(jié)果是服務(wù)器會(huì)開(kāi)啟一個(gè)任意的非特權(quán)端口(P?>;?1024),并發(fā)送PORT?P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來(lái)傳送數(shù)據(jù)。?
對(duì)于服務(wù)器端的防火墻來(lái)說(shuō),必須允許下面的通訊才能支持被動(dòng)方式的FTP:?
從任何端口到服務(wù)器的21端口?(客戶端初始化的連接?S<-C)? 服務(wù)器的21端口到任何大于1023的端口?(服務(wù)器響應(yīng)到客戶端的控制端口的連接?S->C)? 從任何端口到服務(wù)器的大于1023端口?(入;客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口?S<-C)? 服務(wù)器的大于1023端口到遠(yuǎn)程的大于1023的端口(出;服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口?S->C)?
畫(huà)出來(lái)的話,被動(dòng)方式的FTP連接過(guò)程大概是下圖的樣子:?
?
在第1步中,客戶端的命令端口與服務(wù)器的命令端口建立連接,并發(fā)送命令“PASV”。然后在第2步中,服務(wù)器返回命令"PORT?2024",告訴客戶端(服務(wù)器)用哪個(gè)端口偵聽(tīng)數(shù)據(jù)連接。在第3步中,客戶端初始化一個(gè)從自己的數(shù)據(jù)端口到服務(wù)器端指定的數(shù)據(jù)端口的數(shù)據(jù)連接。最后服務(wù)器在第4?步中給客戶端的數(shù)據(jù)端口返回一個(gè)"ACK"響應(yīng)。?
被動(dòng)方式的FTP解決了客戶端的許多問(wèn)題,但同時(shí)給服務(wù)器端帶來(lái)了更多的問(wèn)題。最大的問(wèn)題是需要允許從任意遠(yuǎn)程終端到服務(wù)器高位端口的連接。幸運(yùn)的是,許多FTP守護(hù)程序,包括流行的WU-FTPD允許管理員指定FTP服務(wù)器使用的端口范圍。詳細(xì)內(nèi)容參看附錄1。??
第二個(gè)問(wèn)題是客戶端有的支持被動(dòng)模式,有的不支持被動(dòng)模式,必須考慮如何能支持這些客戶端,以及為他們提供解決辦法。例如,Solaris提供的FTP命令行工具就不支持被動(dòng)模式,需要第三方的FTP客戶端,比如ncftp。?
隨著WWW的廣泛流行,許多人習(xí)慣用web瀏覽器作為FTP客戶端。大多數(shù)瀏覽器只在訪問(wèn)ftp://這樣的URL時(shí)才支持被動(dòng)模式。這到底是好還是壞取決于服務(wù)器和防火墻的配置。?
被動(dòng)FTP的例子?
下面是一個(gè)被動(dòng)FTP會(huì)話的實(shí)際例子,只是服務(wù)器名、IP地址和用戶名都做了改動(dòng)。在這個(gè)例子中,FTP會(huì)話從?testbox1.slacksite.com?(192.168.150.80),一個(gè)運(yùn)行標(biāo)準(zhǔn)的FTP命令行客戶端的Linux工作站,發(fā)起到testbox2.slacksite.com?(192.168.150.90),一個(gè)運(yùn)行ProFTPd?1.2.2RC2的Linux工作站。debugging(-d)選項(xiàng)用來(lái)在FTP客戶端顯示連接的詳細(xì)過(guò)程。紅色的文字是?debugging信息,顯示的是發(fā)送到服務(wù)器的實(shí)際FTP命令和所產(chǎn)生的回應(yīng)信息。服務(wù)器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。?
注意此例中的PORT命令與主動(dòng)FTP例子的不同。這里,我們看到是服務(wù)器(192.168.150.90)而不是客戶端的一個(gè)端口被打開(kāi)了。可以跟上面的主動(dòng)FTP例子中的PORT命令格式對(duì)比一下。?
testbox1:?{/home/p-t/slacker/public_html}?%?ftp?-d?testbox2?
Connected?to?testbox2.slacksite.com.?
220?testbox2.slacksite.com?FTP?server?ready.?
Name?(testbox2:slacker):?slacker?
--->?USER?slacker?
331?Password?required?for?slacker.?
Password:?TmpPass?
--->?PASS?XXXX?
230?User?slacker?logged?in.?
--->?SYST?
215?UNIX?Type:?L8?
Remote?system?type?is?UNIX.?
Using?binary?mode?to?transfer?files.?
ftp>?passive?
Passive?mode?on.?
ftp>?ls?
ftp:?setsockopt?(ignored):?Permission?denied?
--->?PASV?
227?Entering?Passive?Mode?(192,168,150,90,195,149).?
--->?LIST?
150?Opening?ASCII?mode?data?connection?for?file?list?
drwx------???3?slacker????users?????????104?Jul?27?01:45?public_html?
226?Transfer?complete.?
ftp>;?quit?
--->?QUIT?
221?Goodbye.?
總結(jié)?
下面的圖表會(huì)幫助管理員們記住每種FTP方式是怎樣工作的:?
主動(dòng)FTP:?
???命令連接:客戶端?>1023端口?->?服務(wù)器?21端口?
???數(shù)據(jù)連接:客戶端?>1023端口?<-?服務(wù)器?20端口??
被動(dòng)FTP:?
???命令連接:客戶端?>1023端口?->?服務(wù)器?21端口?
???數(shù)據(jù)連接:客戶端?>1023端口?->?服務(wù)器?>1023端口??
下面是主動(dòng)與被動(dòng)FTP優(yōu)缺點(diǎn)的簡(jiǎn)要總結(jié):??
主動(dòng)FTP對(duì)FTP服務(wù)器的管理有利,但對(duì)客戶端的管理不利。因?yàn)镕TP服務(wù)器企圖與客戶端的高位隨機(jī)端口建立連接,而這個(gè)端口很有可能被客戶端的防火墻阻塞掉。被動(dòng)FTP對(duì)FTP客戶端的管理有利,但對(duì)服務(wù)器端的管理不利。因?yàn)榭蛻舳艘c服務(wù)器端建立兩個(gè)連接,其中一個(gè)連到一個(gè)高位隨機(jī)端口,而這個(gè)端口很有可能被服務(wù)器端的防火墻阻塞掉。?
幸運(yùn)的是,有折衷的辦法。既然FTP服務(wù)器的管理員需要他們的服務(wù)器有最多的客戶連接,那么必須得支持被動(dòng)FTP。我們可以通過(guò)為FTP服務(wù)器指定一個(gè)有限的端口范圍來(lái)減小服務(wù)器高位端口的暴露。這樣,不在這個(gè)范圍的任何端口會(huì)被服務(wù)器的防火墻阻塞。雖然這沒(méi)有消除所有針對(duì)服務(wù)器的危險(xiǎn),但它大大減少了危險(xiǎn)。詳細(xì)信息參看附錄1。?
目錄?
- ?????
?
- ?開(kāi)場(chǎng)白?
- ?基礎(chǔ)?
- ?主動(dòng)FTP?
- ?主動(dòng)FTP的例子?
- ?被動(dòng)FTP?
- ?被動(dòng)FTP的例子?
- ?總結(jié)?
- ?參考資料?
- ?附錄?1:?配置常見(jiàn)FTP服務(wù)器?
開(kāi)場(chǎng)白?
處理防火墻和其他網(wǎng)絡(luò)連接問(wèn)題時(shí)最常見(jiàn)的一個(gè)難題是主動(dòng)FTP與被動(dòng)FTP的區(qū)別以及如何完美地支持它們。幸運(yùn)地是,本文能夠幫助你清除在防火墻環(huán)境中如何支持FTP這個(gè)問(wèn)題上的一些混亂。?
本文也許不像題目聲稱(chēng)的那樣是一個(gè)權(quán)威解釋,但我已經(jīng)聽(tīng)到了很多好的反饋意見(jiàn),也看到了本文在許多地方被引用,知道了很多人都認(rèn)為它很有用。雖然我一直在找尋改進(jìn)的方法,但如果你發(fā)現(xiàn)某個(gè)地方講的不夠清楚,需要更多的解釋,請(qǐng)告訴我!最近的修改是增加了主動(dòng)FTP和被動(dòng)FTP會(huì)話中命令的例子。這些會(huì)話的例子應(yīng)該對(duì)更好地理解問(wèn)題有所幫助。例子中還提供了非常棒的圖例來(lái)解釋FTP會(huì)話過(guò)程的步驟。現(xiàn)在,正題開(kāi)始了...?
基礎(chǔ)?
FTP是僅基于TCP的服務(wù),不支持UDP。?與眾不同的是FTP使用2個(gè)端口,一個(gè)數(shù)據(jù)端口和一個(gè)命令端口(也可叫做控制端口)。通常來(lái)說(shuō)這兩個(gè)端口是21-命令端口和20-數(shù)據(jù)端口。但當(dāng)我們發(fā)現(xiàn)根據(jù)(FTP工作)方式的不同數(shù)據(jù)端口并不總是20時(shí),混亂產(chǎn)生了。?
主動(dòng)FTP?
主動(dòng)方式的FTP是這樣的:客戶端從一個(gè)任意的非特權(quán)端口N(N>;1024)連接到FTP服務(wù)器的命令端口,也就是21端口。然后客戶端開(kāi)始監(jiān)聽(tīng)端口N+1,并發(fā)送FTP命令“port?N+1”到FTP服務(wù)器。接著服務(wù)器會(huì)從它自己的數(shù)據(jù)端口(20)連接到客戶端指定的數(shù)據(jù)端口(N+1)。?
針對(duì)FTP服務(wù)器前面的防火墻來(lái)說(shuō),必須允許以下通訊才能支持主動(dòng)方式FTP:?
畫(huà)出來(lái)的話,連接過(guò)程大概是下圖的樣子:?
?
在第1步中,客戶端的命令端口與FTP服務(wù)器的命令端口建立連接,并發(fā)送命令“PORT?1027”。然后在第2步中,FTP服務(wù)器給客戶端的命令端口返回一個(gè)"ACK"。在第3步中,FTP服務(wù)器發(fā)起一個(gè)從它自己的數(shù)據(jù)端口(20)到客戶端先前指定的數(shù)據(jù)端口(1027)的連接,最后客戶端在第4步中給服務(wù)器端返回一個(gè)"ACK"。?
主動(dòng)方式FTP的主要問(wèn)題實(shí)際上在于客戶端。FTP的客戶端并沒(méi)有實(shí)際建立一個(gè)到服務(wù)器數(shù)據(jù)端口的連接,它只是簡(jiǎn)單的告訴服務(wù)器自己監(jiān)聽(tīng)的端口號(hào),服務(wù)器再回來(lái)連接客戶端這個(gè)指定的端口。對(duì)于客戶端的防火墻來(lái)說(shuō),這是從外部系統(tǒng)建立到內(nèi)部客戶端的連接,這是通常會(huì)被阻塞的。?
主動(dòng)FTP的例子?
下面是一個(gè)主動(dòng)FTP會(huì)話的實(shí)際例子。當(dāng)然服務(wù)器名、IP地址和用戶名都做了改動(dòng)。在這個(gè)例子中,FTP會(huì)話從?testbox1.slacksite.com?(192.168.150.80),一個(gè)運(yùn)行標(biāo)準(zhǔn)的FTP命令行客戶端的Linux工作站,發(fā)起到testbox2.slacksite.com?(192.168.150.90),一個(gè)運(yùn)行ProFTPd?1.2.2RC2的Linux工作站。debugging(-d)選項(xiàng)用來(lái)在FTP客戶端顯示連接的詳細(xì)過(guò)程。紅色的文字是?debugging信息,顯示的是發(fā)送到服務(wù)器的實(shí)際FTP命令和所產(chǎn)生的回應(yīng)信息。服務(wù)器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。?
仔細(xì)考慮這個(gè)對(duì)話過(guò)程我們會(huì)發(fā)現(xiàn)一些有趣的事情。我們可以看到當(dāng)?PORT?命令被提交時(shí),它指定了客戶端(192.168.150.80)上的一個(gè)端口而不是服務(wù)器的。當(dāng)我們用被動(dòng)FTP時(shí)我們會(huì)看到相反的現(xiàn)象。我們?cè)賮?lái)關(guān)注PORT命令的格式。就象你在下面的例子看到的一樣,它是一個(gè)由六個(gè)被逗號(hào)隔開(kāi)的數(shù)字組成的序列。前四個(gè)表示IP地址,后兩個(gè)組成了用于數(shù)據(jù)連接的端口號(hào)。用第五個(gè)數(shù)乘以256再加上第六個(gè)數(shù)就得到了實(shí)際的端口號(hào)。下面例子中端口號(hào)就是(?(14*256)?+?178)?=?3762。我們可以用netstat來(lái)驗(yàn)證這個(gè)端口信息。?
testbox1:?{/home/p-t/slacker/public_html}?%?ftp?-d?testbox2?
Connected?to?testbox2.slacksite.com.?
220?testbox2.slacksite.com?FTP?server?ready.?
Name?(testbox2:slacker):?slacker?
--->?USER?slacker?
331?Password?required?for?slacker.?
Password:?TmpPass?
--->?PASS?XXXX?
230?User?slacker?logged?in.?
--->?SYST?
215?UNIX?Type:?L8?
Remote?system?type?is?UNIX.?
Using?binary?mode?to?transfer?files.?
ftp>?ls?
ftp:?setsockopt?(ignored):?Permission?denied?
--->?PORT?192,168,150,80,14,178?
200?PORT?command?successful.?
--->?LIST?
150?Opening?ASCII?mode?data?connection?for?file?list.?
drwx------???3?slacker????users?????????104?Jul?27?01:45?public_html?
226?Transfer?complete.?
ftp>?quit?
--->?QUIT?
221?Goodbye.?
被動(dòng)FTP?
為了解決服務(wù)器發(fā)起到客戶的連接的問(wèn)題,人們開(kāi)發(fā)了一種不同的FTP連接方式。這就是所謂的被動(dòng)方式,或者叫做PASV,當(dāng)客戶端通知服務(wù)器它處于被動(dòng)模式時(shí)才啟用。?
在被動(dòng)方式FTP中,命令連接和數(shù)據(jù)連接都由客戶端,這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過(guò)濾掉的問(wèn)題。當(dāng)開(kāi)啟一個(gè)FTP連接時(shí),客戶端打開(kāi)兩個(gè)任意的非特權(quán)本地端口(N?>;?1024和N+1)。第一個(gè)端口連接服務(wù)器的21端口,但與主動(dòng)方式的FTP不同,客戶端不會(huì)提交PORT命令并允許服務(wù)器來(lái)回連它的數(shù)據(jù)端口,而是提交PASV命令。這樣做的結(jié)果是服務(wù)器會(huì)開(kāi)啟一個(gè)任意的非特權(quán)端口(P?>;?1024),并發(fā)送PORT?P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來(lái)傳送數(shù)據(jù)。?
對(duì)于服務(wù)器端的防火墻來(lái)說(shuō),必須允許下面的通訊才能支持被動(dòng)方式的FTP:?
畫(huà)出來(lái)的話,被動(dòng)方式的FTP連接過(guò)程大概是下圖的樣子:?
?
在第1步中,客戶端的命令端口與服務(wù)器的命令端口建立連接,并發(fā)送命令“PASV”。然后在第2步中,服務(wù)器返回命令"PORT?2024",告訴客戶端(服務(wù)器)用哪個(gè)端口偵聽(tīng)數(shù)據(jù)連接。在第3步中,客戶端初始化一個(gè)從自己的數(shù)據(jù)端口到服務(wù)器端指定的數(shù)據(jù)端口的數(shù)據(jù)連接。最后服務(wù)器在第4?步中給客戶端的數(shù)據(jù)端口返回一個(gè)"ACK"響應(yīng)。?
被動(dòng)方式的FTP解決了客戶端的許多問(wèn)題,但同時(shí)給服務(wù)器端帶來(lái)了更多的問(wèn)題。最大的問(wèn)題是需要允許從任意遠(yuǎn)程終端到服務(wù)器高位端口的連接。幸運(yùn)的是,許多FTP守護(hù)程序,包括流行的WU-FTPD允許管理員指定FTP服務(wù)器使用的端口范圍。詳細(xì)內(nèi)容參看附錄1。??
第二個(gè)問(wèn)題是客戶端有的支持被動(dòng)模式,有的不支持被動(dòng)模式,必須考慮如何能支持這些客戶端,以及為他們提供解決辦法。例如,Solaris提供的FTP命令行工具就不支持被動(dòng)模式,需要第三方的FTP客戶端,比如ncftp。?
隨著WWW的廣泛流行,許多人習(xí)慣用web瀏覽器作為FTP客戶端。大多數(shù)瀏覽器只在訪問(wèn)ftp://這樣的URL時(shí)才支持被動(dòng)模式。這到底是好還是壞取決于服務(wù)器和防火墻的配置。?
被動(dòng)FTP的例子?
下面是一個(gè)被動(dòng)FTP會(huì)話的實(shí)際例子,只是服務(wù)器名、IP地址和用戶名都做了改動(dòng)。在這個(gè)例子中,FTP會(huì)話從?testbox1.slacksite.com?(192.168.150.80),一個(gè)運(yùn)行標(biāo)準(zhǔn)的FTP命令行客戶端的Linux工作站,發(fā)起到testbox2.slacksite.com?(192.168.150.90),一個(gè)運(yùn)行ProFTPd?1.2.2RC2的Linux工作站。debugging(-d)選項(xiàng)用來(lái)在FTP客戶端顯示連接的詳細(xì)過(guò)程。紅色的文字是?debugging信息,顯示的是發(fā)送到服務(wù)器的實(shí)際FTP命令和所產(chǎn)生的回應(yīng)信息。服務(wù)器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。?
注意此例中的PORT命令與主動(dòng)FTP例子的不同。這里,我們看到是服務(wù)器(192.168.150.90)而不是客戶端的一個(gè)端口被打開(kāi)了。可以跟上面的主動(dòng)FTP例子中的PORT命令格式對(duì)比一下。?
testbox1:?{/home/p-t/slacker/public_html}?%?ftp?-d?testbox2?
Connected?to?testbox2.slacksite.com.?
220?testbox2.slacksite.com?FTP?server?ready.?
Name?(testbox2:slacker):?slacker?
--->?USER?slacker?
331?Password?required?for?slacker.?
Password:?TmpPass?
--->?PASS?XXXX?
230?User?slacker?logged?in.?
--->?SYST?
215?UNIX?Type:?L8?
Remote?system?type?is?UNIX.?
Using?binary?mode?to?transfer?files.?
ftp>?passive?
Passive?mode?on.?
ftp>?ls?
ftp:?setsockopt?(ignored):?Permission?denied?
--->?PASV?
227?Entering?Passive?Mode?(192,168,150,90,195,149).?
--->?LIST?
150?Opening?ASCII?mode?data?connection?for?file?list?
drwx------???3?slacker????users?????????104?Jul?27?01:45?public_html?
226?Transfer?complete.?
ftp>;?quit?
--->?QUIT?
221?Goodbye.?
總結(jié)?
下面的圖表會(huì)幫助管理員們記住每種FTP方式是怎樣工作的:?
主動(dòng)FTP:?
???命令連接:客戶端?>1023端口?->?服務(wù)器?21端口?
???數(shù)據(jù)連接:客戶端?>1023端口?<-?服務(wù)器?20端口??
被動(dòng)FTP:?
???命令連接:客戶端?>1023端口?->?服務(wù)器?21端口?
???數(shù)據(jù)連接:客戶端?>1023端口?->?服務(wù)器?>1023端口??
下面是主動(dòng)與被動(dòng)FTP優(yōu)缺點(diǎn)的簡(jiǎn)要總結(jié):??
主動(dòng)FTP對(duì)FTP服務(wù)器的管理有利,但對(duì)客戶端的管理不利。因?yàn)镕TP服務(wù)器企圖與客戶端的高位隨機(jī)端口建立連接,而這個(gè)端口很有可能被客戶端的防火墻阻塞掉。被動(dòng)FTP對(duì)FTP客戶端的管理有利,但對(duì)服務(wù)器端的管理不利。因?yàn)榭蛻舳艘c服務(wù)器端建立兩個(gè)連接,其中一個(gè)連到一個(gè)高位隨機(jī)端口,而這個(gè)端口很有可能被服務(wù)器端的防火墻阻塞掉。?
幸運(yùn)的是,有折衷的辦法。既然FTP服務(wù)器的管理員需要他們的服務(wù)器有最多的客戶連接,那么必須得支持被動(dòng)FTP。我們可以通過(guò)為FTP服務(wù)器指定一個(gè)有限的端口范圍來(lái)減小服務(wù)器高位端口的暴露。這樣,不在這個(gè)范圍的任何端口會(huì)被服務(wù)器的防火墻阻塞。雖然這沒(méi)有消除所有針對(duì)服務(wù)器的危險(xiǎn),但它大大減少了危險(xiǎn)。詳細(xì)信息參看附錄1。?
轉(zhuǎn)載于:https://www.cnblogs.com/wuyun-blog/p/8184041.html
總結(jié)
以上是生活随笔為你收集整理的转!!ftp的主动模式(port)与被动模式(PASV)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 微星主板Ubuntu16.04安装教程
- 下一篇: ocp-470