一,首先我們看兩個例子如下:
其中192.168.10.7是服務端,172.16.11.11是客戶端
被動模式
# netstat -an |grep 172.16.11.11
tcp 0 0 192.168.10.7:52160 172.16.11.11:16091 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:15354 TIME_WAIT
tcp 0 434064 192.168.10.7:43407 172.16.11.11:16220 ESTABLISHED
tcp 0 0 192.168.10.7:21 172.16.11.11:16090 ESTABLISHED
tcp 0 52 ::ffff:192.168.10.7:22 ::ffff:172.16.11.11:13939 ESTABLISHED
主動模式
# netstat -an |grep 172.16.11.11
tcp 0 268488 192.168.10.7:20 172.16.11.11:18434 ESTABLISHED
tcp 0 0 192.168.10.7:21 172.16.11.11:18433 TIME_WAIT
tcp 0 0 192.168.10.7:20 172.16.11.11:18426 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18425 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18418 TIME_WAIT
tcp 0 0 192.168.10.7:20 172.16.11.11:18420 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18369 TIME_WAIT
tcp 0 0 192.168.10.7:20 172.16.11.11:18397 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18387 ESTABLISHED
tcp 0 52 ::ffff:192.168.10.7:22 ::ffff:172.16.11.11:13939 ESTABLISHED
二,如上我們不難發現:
被動模式時, 服務端用到21端口,其他大於1024端口,如43407
主動模式時, 服務端用到20端口,21端口
兩種模式客戶端用到的都是大於1024的端口
由此可以推出21端口是連接控制端口,20端口是數據傳輸端口(主動模式下)
三,補充,在生產環境下由於防火牆和ACL等對端口控制的很嚴格,如果想方便服務端的配置可以用主動模式,
但客戶端要讓他們調好模式,如IE瀏覽器默認就是用被動模式。
四,另外給vsftpd的主動模式和被動模式的配置放在下面
主動模式
port_enable=YES
connect_from_port_20=YES #數據端口是20即主動模式
ftp_data_port=? #如果數據傳輸端口不想用20把上面的YES改成NO,這裏填上你想設置的端口
被動模式
#PASV MOD
pasv_enable=YES
pasv_min_port=60000
pasv_max_port=60006
五,防火牆iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 60000:60006 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT