FTP站点的传输模式有两种,一种是主动模式,另一种是被动模式。主动模式比较常见,它是使用服务器的21端口进行身份验证,用20端口传输数据的。那么如果修改了这两个端口的其中之一,另外一个会自动变化吗?
■将采用主动模式的FTP服务器进行身份验证的端口由21改为1000,不改变默认情况下传输数据的20端口,那么传输数据的端口仍然是20端口。
这个说法到底正确与否,我们用事实说话。用SERV-U建立了一个FTP站点并设置为主动模式,将默认的身份验证端口修改为1000,接着在网络出口的交换机上使用访问控制列表将服务器的21端口和20端口封锁掉,不让这两个端口传输数据。如果服务器仍然使用修改后的1000端口进行身份验证以及20端口传输数据的话,那么客户机登录FTP应该能够通过身份验证(要求输入用户名和密码),然后才出现无法登录的提示。
小提示:
FTP有两种传输模式,主动模式和被动模式。主动模式使用的身份验证端口是21,传输数据使用服务器的20端口;而被动模式则不同,它需要用户修改连接模式以适应服务器传输模式。虽然使用的身份验证端口也是服务器的21端口,但是在传输数据时所使用的端口是由客户端和服务器端协商而成的,端口号也是不固定的。
我们发现结果与预期的不同,客户机登录FTP后身份验证能正常通过,连接下来的数据传输也没有任何问题。事实表明FTP的验证端口与数据传输端口都应该没有被封锁,也就是说由于我们修改了默认的身份验证21端口,因此20端口也不再是数据传输的端口。
按照21与20端口相差1的关系猜测将身份验证端口修改为1000后,数据传输端口也应该是1000-1=999。接着在交换机上将999端口进行封锁,不容许任何数据包通过服务器的999端口。再次用客户机登录FTP服务器,身份验证能够通过,但FTP登录错误信息马上出现在客户机的屏幕上。这就说明999端口才是真正的数据传输端口。
■如果修改了默认的身份验证端口21为1000的话,数据传输使用的默认端口也会自动的从20端口变化为999端口。