FTP中的两种工作方式
   PASV命令和PORT命令区别
    FTP是一种文件传输协议,它支持两种模式,一种方式叫做Standard (也就是 Active,主动方式),一种是 Passive (也就是PASV,被动方式)。 Standard模式 FTP的客户端发送 PORT 命令到FTPserver。Passive 模式FTP的客户端发送 PASV命令到 FTP Server。下面介绍一个这两种方式的工作原理: Standard模式FTP 客户端首先和FTP Server的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。 Passive模式在建立控制通道的时候和Standard模式类似,当客户端通过这个通道发送PASV 命令的时候,FTP server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求,然后FTP server 将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接。现在的FTP软件里面包括在IE5以上的版本里面也已经支持这两种模式了。
一般一些FTP客户端的软件就比较好设置了,一般都有一个PASV的选项,比如 CuteFTP,传输的方式都有Standard和PASV的选项,可以自己进行选择;另外在IE里面如果要设置成PASV模式的话可以选中工具- Internet选项-高级-为FTP站点启用文件夹视图,否则就采用Standard模式。很多防火墙在设置的时候都是不允许接受外部发起的连接的,所以FTP的Standard模式在许多时候在内部网络的机器通过防火墙出去的时候受到了限制,因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接,造成无法工作。当然也可以设置成功,首先要创建一条规则就是允许内部的IP连接外部的IP的21端口;第二条就是禁止外部IP的TCP 20端口连接内部IP的<1024的端口,这条是为了防止外部连接内部的常规端口;第三条验证ACK是否等于1,这个的原理就参见TCP建立连接的三次握手吧。所以如果安全的配置的话非常困难,这个时候就想起来了PASV模式,因为不用建立新的连接,所以也就不会涉及到后面的问题了。
但是管理员可能不想使用PASV模式,因为这个时候FTP Server会开放一个随机的高端口,尽管在IIS4和IIS5里面端口的范围是1024-5000,但是许多FTP Server的端口范围达到了1024-65535,这个时候在这个主动开放的随机端口上是有完全的访问权限的,如果IIS也要设置成开放的端口为 1024-65535,具体方法如下:
1. regedt32
2. 找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
  3. 编辑-添加-数值 Value Name: MaxUserPort Data Type: REG_DWORD Value: 65534
 
(可参考:http://www.utt.com.cn/reference.php?id=558
FTP是用来在客户机和服务器之间实现文件传输的协议。他主要有两种工作模式:
 
1) 主动模式
在该模式下,FTP客户端随机开启一个大于1024的端口n向服务器的21号端口发起连接,然后开放n+1号端口进行监听,并向服务器发出port n+1 命令,服务器收到该命令后,会用本地的20号端口来连接客户端指定的端口 n+1,进行数据交换。
 
2) 被动模式
在该模式下,FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接,同时会开启N+1号端口,然后向服务器发出PASV 命令,通知服务器自己处于被动模式,服务器收到该命令后,会开放一个大于1024的端口P进行监听,并用port P命令通知客户端,自己的数据端口是P,客户端收到该命令后,会通过N+1号端口连接服务器的端口P,然后再两个端口之间进行数据传输。
 
结论:
 
在主动模式下:FTP服务器的控制端口是21,数据端口是20,所以在做静态映射的时候只需要开放21端口即可,他会用20端口和客户端主动的发起连接。

在被动模式下:FTP服务器的控制端口是21,数据端口是随机的,且是客户端去连接对应的数据端口,所以在做静态的映射话只开放21端口是不可以的。此时需要做DMZ。

针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:
[*]任何端口到FTP服务器的21端口 (客户端初始化的连接 S<-C)
[*]FTP服务器的21端口到大于1023的端口(服务器响应客户端的控制端口 S->C)
[*]FTP服务器的20端口到大于1023的端口(服务器端初始化数据连接到客户端的数据端口 S->C)
[*]大于1023端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口 S<-C)

在第1步中,客户端的命令端口与FTP服务器的命令端口建立连接,并发送命令“PORT 1027”。然后在第2步中,FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。
    主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说,这是从外部系统建立到内部客户端的连接,这是通常会被阻塞的。
主动FTP的例子
下面是一个主动FTP会话的实际例子。当然服务器名、IP地址和用户名都做了改动。在这个例子中,FTP会话从 testbox1.slacksite.com (192.168.150.80),一个运行标准的FTP命令行客户端的Linux工作站,发起到testbox2.slacksite.com (192.168.150.90),一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息,显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。
仔细考虑这个对话过程我们会发现一些有趣的事情。我们可以看到当 PORT 命令被提交时,它指定了客户端(192.168.150.80)上的一个端口而不是服务器的。当我们用被动FTP时我们会看到相反的现象。我们再来关注PORT命令的格式。就象你在下面的例子看到的一样,它是一个由六个被逗号隔开的数字组成的序列。前四个表示IP地址,后两个组成了用于数据连接的端口号。用第五个数乘以256再加上第六个数就得到了实际的端口号。下面例子中端口号就是( (14*256) + 178) = 3762。我们可以用netstat来验证这个端口信息。
testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
[color=#FF0000]---> USER slacker[/color]
331 Password required for slacker.
Password: TmpPass
[color=#FF0000]---> PASS XXXX[/color]
230 User slacker logged in.
[color=#FF0000]---> SYST
215 UNIX Type: L8[/color]
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
[color=#FF0000]ftp: setsockopt (ignored): Permission denied
---> PORT 192,168,150,80,14,178[/color]
200 PORT command successful.
[color=#FF0000]---> LIST[/color]
150 Opening ASCII mode data connection for file list.
drwx------   3 slacker    users         104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> quit
[color=#FF0000]---> QUIT[/color]
221 Goodbye.
被动FTP
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。
在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:
[list=1]
[*]从任何端口到服务器的21端口 (客户端初始化的连接 S<-C)
[*]服务器的21端口到任何大于1023的端口 (服务器响应到客户端的控制端口的连接 S->C)
[*]从任何端口到服务器的大于1023端口 (入;客户端初始化数据连接到服务器指定的任意端口 S<-C)
[*]服务器的大于1023端口到远程的大于1023的端口(出;服务器发送ACK响应和数据到客户端的数据端口 S->C)
画出来的话,被动方式的FTP连接过程大概是下图的样子:
在第1步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第2步中,服务器返回命令"PORT 2024",告诉客户端(服务器)用哪个端口侦听数据连接。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。
被动方式的FTP解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是,许多FTP守护程序,包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。 
第二个问题是客户端有的支持被动模式,有的不支持被动模式,必须考虑如何能支持这些客户端,以及为他们提供解决办法。例如,Solaris提供的FTP命令行工具就不支持被动模式,需要第三方的FTP客户端,比如ncftp。
随着WWW的广泛流行,许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这到底是好还是坏取决于服务器和防火墙的配置。
被动FTP的例子
下面是一个被动FTP会话的实际例子,只是服务器名、IP地址和用户名都做了改动。在这个例子中,FTP会话从 testbox1.slacksite.com (192.168.150.80),一个运行标准的FTP命令行客户端的Linux工作站,发起到testbox2.slacksite.com (192.168.150.90),一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息,显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。
注意此例中的PORT命令与主动FTP例子的不同。这里,我们看到是服务器(192.168.150.90)而不是客户端的一个端口被打开了。可以跟上面的主动FTP例子中的PORT命令格式对比一下。
testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
[color=#FF0000]---> USER slacker[/color]
331 Password required for slacker.
Password: TmpPass
[color=#FF0000]---> PASS XXXX[/color]
230 User slacker logged in.
[color=#FF0000]---> SYST
215 UNIX Type: L8[/color]
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive
Passive mode on.
ftp> ls
[color=#FF0000]ftp: setsockopt (ignored): Permission denied[/color]
[color=#FF0000]---> PASV[/color]
227 Entering Passive Mode (192,168,150,90,195,149).
[color=#FF0000]---> LIST[/color]
150 Opening ASCII mode data connection for file list
drwx------   3 slacker    users         104 Jul 27 01:45 public_html
226 Transfer complete.
ftp>; quit
[color=#FF0000]---> QUIT[/color]
221 Goodbye.
总结
下面的图表会帮助管理员们记住每种FTP方式是怎样工作的:
主动FTP:
   命令连接:客户端 >1023端口 -> 服务器 21端口
   数据连接:客户端 >1023端口 <- 服务器 20端口 
被动FTP:
   命令连接:客户端 >1023端口 -> 服务器 21端口
   数据连接:客户端 >1023端口 -> 服务器 >1023端口 
下面是主动与被动FTP优缺点的简要总结: 
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
幸运的是,有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接,那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样,不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险,但它大大减少了危险。详细信息参看附录1。

参考资料 
O'Reilly出版的《组建Internet防火墙》(第
二版,Brent Chapman,Elizabeth Zwicky著)是一本很不错的参考资料。里面讲述了各种Internet协议如何工作,以及有关防火墙的例子。 
最权威的FTP参考资料是RFC 959,它是FTP协议的官方规范。RFC的资料可以从许多网站上下载,例如:[url]ftp://nic.merit.edu/documents/rfc/rfc0959.txt [/url]。
[url=http://slacksite.com/other/ftp-appendix1.html]Active FTP vs. Passive FTP, Appendix 1
[ 本帖最后由 wolfg 于 2006-5-29 10:26 编辑 ]
--------------------------------------------------------------------------------
几种常见FTP服务器与被动方式有关的设置
ProFTPD
参考: [url]http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-NAT.txt[/url]
MasqueradeAddress
PassivePorts 
vsftpd
参考: [url]http://vsftpd.beasts.org/vsftpd_conf.html[/url]
pasv_enable
pasv_max_port
pasv_min_port
pasv_address
Pure-FTPd
参考: [url]http://www.pureftpd.org/README[/url]
-p  --passiveportrange      <minport:maxport>;
-P  --forcepassiveip        <ip address>;