FTP主動模式與被動模式

原創 forevercxr 2019-02-22 15:44

 

FTP主動模式與被動模式

目錄
 

       
  • 開場白
     
  • 基礎
     
  • 主動FTP
     
  • 主動FTP的例子
     
  • 被動FTP
     
  • 被動FTP的例子
     
  • 總結
     
  • 參考資料
     
  • 附錄 1: 配置常見FTP服務器
     



開場白

處理防火牆和其他網絡連接問題時最常見的一個難題是主動FTP與被動FTP的區別以及如何完美地支持它們。幸運地是,本文能夠幫助你清除在防火牆環境中如何支持FTP這個問題上的一些混亂。

本文也許不像題目聲稱的那樣是一個權威解釋,但我已經聽到了很多好的反饋意見,也看到了本文在許多地方被引用,知道了很多人都認爲它很有用。雖然我一直在找尋改進的方法,但如果你發現某個地方講的不夠清楚,需要更多的解釋,請告訴我!最近的修改是增加了主動FTP和被動FTP會話中命令的例子。這些會話的例子應該對更好地理解問題有所幫助。例子中還提供了非常棒的圖例來解釋FTP會話過程的步驟。現在,正題開始了...

基礎

FTP是僅基於TCP的服務,不支持UDP。 與衆不同的是FTP使用2個端口,一個數據端口和一個命令端口(也可叫做控制端口)。通常來說這兩個端口是21-命令端口和20-數據端口。但當我們發現根據(FTP工作)方式的不同數據端口並不總是20時,混亂產生了。

主動FTP

主動方式的FTP是這樣的:客戶端從一個任意的非特權端口N(N>1024)連接到FTP服務器的命令端口,也就是21端口。然後客戶端開始監聽端口 N+1,併發送FTP命令“port N+1”到FTP服務器。接着服務器會從它自己的數據端口(20)連接到客戶端指定的數據端口(N+1)。

針對FTP服務器前面的防火牆來說,必須允許以下通訊才能支持主動方式FTP:
 


  1. 任何端口到FTP服務器的21端口 (客戶端初始化的連接 S<-C)
     
  2. FTP服務器的21端口到大於1024的端口(服務器響應客戶端的控制端口 S->C)
     
  3. FTP服務器的20端口到大於1024的端口(服務器端初始化數據連接到客戶端的數據端口 S->C)
     
  4. 大於1024端口到FTP服務器的20端口(客戶端發送ACK響應到服務器的數據端口 S<-C)
     



畫出來的話,連接過程大概是下圖的樣子:


在第1步中,客戶端的命令端口與FTP服務器的命令端口建立連接,併發送命令“PORT 1027”。然後在第2步中,FTP服務器給客戶端的命令端口返回一個"ACK"。在第3步中,FTP服務器發起一個從它自己的數據端口(20)到客戶端先前指定的數據端口(1027)的連接,最後客戶端在第4步中給服務器端返回一個"ACK"。

主動方式FTP的主要問題實際上在於客戶端。FTP的客戶端並沒有實際建立一個到服務器數據端口的連接,它只是簡單的告訴服務器自己監聽的端口號,服務器再回來連接客戶端這個指定的端口。對於客戶端的防火牆來說,這是從外部系統建立到內部客戶端的連接,這是通常會被阻塞的。

主動FTP的例子

下面是一個主動FTP會話的實際例子。當然服務器名、IP地址和用戶名都做了改動。在這個例子中,FTP會話從 testbox1.slacksite.com (192.168.150.80),一個運行標準的FTP命令行客戶端的Linux工作站,發起到testbox2.slacksite.com (192.168.150.90),一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息,顯示的是發送到服務器的實際FTP命令和所產生的迴應信息。服務器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。

仔細考慮這個對話過程我們會發現一些有趣的事情。我們可以看到當 PORT 命令被提交時,它指定了客戶端(192.168.150.80)上的一個端口而不是服務器的。當我們用被動FTP時我們會看到相反的現象。我們再來關注 PORT命令的格式。就象你在下面的例子看到的一樣,它是一個由六個被逗號隔開的數字組成的序列。前四個表示IP地址,後兩個組成了用於數據連接的端口號。用第五個數乘以256再加上第六個數就得到了實際的端口號。下面例子中端口號就是( (14*256) + 178) = 3762。我們可以用netstat來驗證這個端口信息。

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
---> USER slacker
331 Password required for slacker.
Password: TmpPass
---> PASS XXXX
230 User slacker logged in.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
ftp: setsockopt (ignored): Permission denied
---> PORT 192,168,150,80,14,178
200 PORT command successful.
---> LIST
150 Opening ASCII mode data connection for file list.
drwx------   3 slacker    users         104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> quit
---> QUIT
221 Goodbye.

被動FTP

爲了解決服務器發起到客戶的連接的問題,人們開發了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當客戶端通知服務器它處於被動模式時才啓用。

在被動方式FTP中,命令連接和數據連接都由客戶端,這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火牆過濾掉的問題。當開啓一個FTP連接時,客戶端打開兩個任意的非特權本地端口(N > 1024和N+1)。第一個端口連接服務器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令並允許服務器來回連它的數據端口,而是提交 PASV命令。這樣做的結果是服務器會開啓一個任意的非特權端口(P > 1024),併發送PORT P命令給客戶端。然後客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。

對於服務器端的防火牆來說,必須允許下面的通訊才能支持被動方式的FTP:
 


  1. 從任何端口到服務器的21端口 (客戶端初始化的連接 S<-C)
     
  2. 服務器的21端口到任何大於1024的端口 (服務器響應到客戶端的控制端口的連接 S->C)
     
  3. 從任何端口到服務器的大於1024端口 (入;客戶端初始化數據連接到服務器指定的任意端口 S<-C)
     
  4. 服務器的大於1024端口到遠程的大於1024的端口(出;服務器發送ACK響應和數據到客戶端的數據端口 S->C)
     


畫出來的話,被動方式的FTP連接過程大概是下圖的樣子:


在第1步中,客戶端的命令端口與服務器的命令端口建立連接,併發送命令“PASV”。然後在第2步中,服務器返回命令"PORT 2024",告訴客戶端(服務器)用哪個端口偵聽數據連接。在第3步中,客戶端初始化一個從自己的數據端口到服務器端指定的數據端口的數據連接。最後服務器在第4 步中給客戶端的數據端口返回一個"ACK"響應。

被動方式的FTP解決了客戶端的許多問題,但同時給服務器端帶來了更多的問題。最大的問題是需要允許從任意遠程終端到服務器高位端口的連接。幸運的是,許多FTP守護程序,包括流行的WU-FTPD允許管理員指定FTP服務器使用的端口範圍。詳細內容參看附錄1。

第二個問題是客戶端有的支持被動模式,有的不支持被動模式,必須考慮如何能支持這些客戶端,以及爲他們提供解決辦法。例如,Solaris提供的FTP命令行工具就不支持被動模式,需要第三方的FTP客戶端,比如ncftp。

隨着WWW的廣泛流行,許多人習慣用web瀏覽器作爲FTP客戶端。大多數瀏覽器只在訪問ftp://這樣的URL時才支持被動模式。這到底是好還是壞取決於服務器和防火牆的配置。

被動FTP的例子

下面是一個被動FTP會話的實際例子,只是服務器名、IP地址和用戶名都做了改動。在這個例子中,FTP會話從 testbox1.slacksite.com (192.168.150.80),一個運行標準的FTP命令行客戶端的Linux工作站,發起到testbox2.slacksite.com (192.168.150.90),一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息,顯示的是發送到服務器的實際FTP命令和所產生的迴應信息。服務器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。

注意此例中的PORT命令與主動FTP例子的不同。這裏,我們看到是服務器(192.168.150.90)而不是客戶端的一個端口被打開了。可以跟上面的主動FTP例子中的PORT命令格式對比一下。

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
---> USER slacker
331 Password required for slacker.
Password: TmpPass
---> PASS XXXX
230 User slacker logged in.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive
Passive mode on.
ftp> ls
ftp: setsockopt (ignored): Permission denied
---> PASV
227 Entering Passive Mode (192,168,150,90,195,149).
---> LIST
150 Opening ASCII mode data connection for file list
drwx------   3 slacker    users         104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> quit
---> QUIT
221 Goodbye.

總結

下面的圖表會幫助管理員們記住每種FTP方式是怎樣工作的:

主動FTP:
  命令連接:客戶端 >1024端口 -> 服務器 21端口
  數據連接:客戶端 >1024端口 <- 服務器 20端口

被動FTP:
  命令連接:客戶端 >1024端口 -> 服務器 21端口
  數據連接:客戶端 >1024端口 -> 服務器 >1024端口

下面是主動與被動FTP優缺點的簡要總結:

主動FTP對FTP服務器的管理有利,但對客戶端的管理不利。因爲FTP服務器企圖與客戶端的高位隨機端口建立連接,而這個端口很有可能被客戶端的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利,但對服務器端的管理不利。因爲客戶端要與服務器端建立兩個連接,其中一個連到一個高位隨機端口,而這個端口很有可能被服務器端的防火牆阻塞掉。

幸運的是,有折衷的辦法。既然FTP服務器的管理員需要他們的服務器有最多的客戶連接,那麼必須得支持被動FTP。我們可以通過爲FTP服務器指定一個有限的端口範圍來減小服務器高位端口的暴露。這樣,不在這個範圍的任何端口會被服務器的防火牆阻塞。雖然這沒有消除所有針對服務器的危險,但它大大減少了危險。詳細信息參看附錄1。


參考資料

O'Reilly出版的《組建Internet防火牆》(第二版,Brent Chapman,Elizabeth Zwicky著)是一本很不錯的參考資料。裏面講述了各種Internet協議如何工作,以及有關防火牆的例子。

最權威的FTP參考資料是RFC 959,它是FTP協議的官方規範。RFC的資料可以從許多網站上下載,例如:ftp://nic.merit.edu/documents/rfc/rfc0959.txt

Active FTP vs. Passive FTP, Appendix 1

幾種常見FTP服務器與被動方式有關的設置

ProFTPD
參考: http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-NAT.txt

MasqueradeAddress
PassivePorts

vsftpd
參考: http://vsftpd.beasts.org/vsftpd_conf.html

pasv_enable
pasv_max_port
pasv_min_port
pasv_address

Pure-FTPd

參考: http://www.pureftpd.org/README

-p  --passiveportrange      <minport:maxport>
-P  --forcepassiveip        <ip address>


 

簡易版

FTP是一種文件傳輸協議,它支持兩種模式,一種方式叫做Standard (也就是 Active,主動方式),一種是 Passive (也就是PASV,被動方式)。 Standard模式 FTP的客戶端發送 PORT 命令到FTP server。Passive模式FTP的客戶端發送 PASV命令到 FTP Server。

下面介紹一個這兩種方式的工作原理:

   Standard模式FTP 客戶端首先和FTP Server的TCP 21端口建立連接,通過這個通道發送命令,客戶端需要接收數據的時候在這個通道上發送PORT命令。 PORT命令包含了客戶端用什麼端口接收數據。在傳送數據的時候,服務器端通過自己的TCP 20端口發送數據。 FTP server必須和客戶端建立一個新的連接用來傳送數據。

  Passive模式在建立控制通道的時候和Standard模式類似,當 客戶端通過這個通道發送PASV 命令的時候,FTP server打開一個位於1024和5000之間的隨機端口並且通知客戶端在這個端口上傳送數據的請求,然後FTP server 將通過這個端口進行數據的傳送,這個時候FTP server不再需要建立一個新的和客戶端之間的連接。

  現在的FTP軟件裏面包括在IE5以上的版本里面也已經支持這兩種模式了。一般一些FTP客戶端的軟件就比較好設置了,一般都有一個PASV的選項,比如CuteFTP,傳輸的方式都有Standard和PASV的選項,可以自己進行選擇;另外在IE裏面如果要設置成PASV模式的話可以選中工具-Internet選項-高級-爲 FTP站點啓用文件夾視圖,否則就採用Standard模式。

  很多防火牆在設置的時候都是不允許接受外部發起的連接的,所以FTP 的Standard模式在許多時候在內部網絡的機器通過防火牆出去的時候受到了限制,因爲從服務器的TCP 20無法和內部網絡的客戶端建立一個新的連接,造成無法工作。當然也可以設置成功,首先要創建一條規則就是允許內部的IP連接外部的IP的21端口;第二條就是禁止外部IP的TCP 20端口連接內部IP的<1024的端口,這條是爲了防止外部連接內部的常規端口;第三條驗證ACK是否等於1。

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

YumRepo Error: All mirror URLs are not using

lovelei 2019-02-23 13:55:14

在RedHat5中架設基於虛擬用戶的FTP服務器

hkb178149081 2019-02-23 13:53:02

vsftpd的基本學習

Monkey001 2019-02-23 13:22:48

[DC工程項目之ASA5540/5550 Failover測試

aleenlee 2019-02-23 12:55:21

ftp

嘻嘻可愛 2019-02-23 00:41:56

FTP服務

hulong988 2019-02-23 00:41:10

Remote desktop manager安裝使用說明

guozy51 2019-02-23 00:26:15

FTP

yy阿爃呀 2019-02-23 00:19:34

詳解vsftpd搭建ftp和ftps

時光的印記 2019-02-23 00:18:22

設計模式之觀察者模式

w84456393 2019-02-24 13:17:06

朝花夕拾--觀察者模式-java筆記

wfh45678 2019-02-23 00:30:36

“Head First 設計模式“ :模板方法模式

u2r2otkit 2019-02-23 00:24:07

創建型設計模式

悠娜的奶爸 2019-02-23 00:21:41

單例模式

AricaCui 2019-02-23 00:17:49

針對Linux系統主機,進入修復模式,解決開機報錯問題

寧靜風中求 2019-02-23 00:09:36