<b>ftp中主动情势(port)与被动情势(PASV)</b>[服务器安全]

开场白

　　处理防火墙和其他网络衔接问题时最常见的一个难题是主动FTP与被动FTP的辨别以及若何完善地支持它们.幸运地是,本文可以帮忙你排除在防火墙环境中若何支持FTP这个问题上的一些混乱.

　　本文大概不像标题声称的那样是一个声望注释,但我已经听到了很多好的反馈看法,也看到了本文在很多地方被引用,知道了很多人都认为它很有效.固然我一向在找寻改良的办法,但假如你发现某个地方讲的不够清楚,需求更多的注释,请奉告我!近来的改恰是增添了主动FTP和被动FTP会话中号令的例子.这些会话的例子应当对更好地理解问题有所帮忙.例子中还供应了非常棒的图例来注释FTP会话历程的步骤.目前,正题开始了...

　　底子

FTP是仅基于TCP的服务,不支持UDP. 与众差别的是FTP利用2个端口,一个数据端口和一个号令端口（也可叫做掌握端口）.普通来说这两个端口是21－号令端口和20－数据端口.但当我们发现按照（FTP工作）方法的差别数据端口并不老是20时,混乱产生了.

　　主动FTP

　　主动方法的FTP是这样的:客户端从一个肆意的非特权端口N（N>;1024）衔接到FTP服务器的号令端口,也就是21端口.然后客户端开始监听端口N+1,并发送FTP号令“port N+1”到FTP服务器.接着服务器会从它自己的数据端口（20）衔接到客户端指定的数据端口（N+1）.

　　针对FTP服务器前面的防火墙来说,必须答应以下通讯才能支持主动方法FTP:

　　任何端口到FTP服务器的21端口 （客户端初始化的衔接 S<-C）

　　FTP服务器的21端口到大于1023的端口（服务器呼应客户端的掌握端口 S->C）

　　FTP服务器的20端口到大于1023的端口（服务器端初始化数据衔接到客户端的数据端口 S->C）

　　大于1023端口到FTP服务器的20端口（客户端发送ACK呼应到服务器的数据端口 S<-C）

　　画出来的话,衔接历程大约是下图的模样: