FTP主被动两种模式很容易忘记,面试或者被问到时不免尴尬,在此做一个小总结。
FTP是一种文件传输协议,它支持两种模式,一种方式叫做主动模式 (也就是 Standard,主动方式),一种是被动模式 (Passive也就是PASV,被动方式)。
准备知识:
主动模式 FTP的客户端发送 PORT 命令到 FTP server。
被动模式 FTP的客户端发送 PASV 命令到 FTP Server。客户端有防火墙适用(代理上网适用)
21端口 — 命令 ;20端口 — 数据
下面介绍一个这两种方式的工作原理:
主动模式FTP Client首先和FTP Server的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。
被动模式在建立控制通道的时候和主动模式类似,当客户端通过这个通道发送PASV 命令的时候,FTP server打开一个大于1024(1024<port<65535,IIS到5000)的随机端口并且通知客户端在这个端口上传送数据的请求,然后FTP server 将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接。
简要概述:
以上关于主动和被动FTP的解释,可以简单概括为以下两点:
1、主动FTP:
命令连接:客户端 >1024端口 —服务器 21端口
数据连接:客户端 >1024端口 —服务器 20端口
2、被动FTP:
命令连接:客户端 >1024端口 —服务器 21端口 (已经告知数据连接端口)
数据连接:客户端 >1024端口 —服务器 >1024端口
应用:
如今FTP软件里面包括在IE5以上的版本里面也已经支持这两种模式了。一般一些FTP客户端的软件就比较好设置了,一般都有一个PASV的选项,比如 CuteFTP,传输的方式都有Standard和PASV的选项,可以自己进行选择;另外在IE里面如果要设置成PASV模式的话可以选中工具 -Internet选项-高级-为FTP站点启用文件夹视图,否则就采用Standard模式。
很多防火墙在设置的时候都是不允许接受外部发起的连接的, 所以FTP的主动模式在许多时候在内部网络的机器通过防火墙出去的时候受到了限制,因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接,造成无法工作。当然也可以设置成功,首先要创建一条规则就是允许内部的IP连接外部的IP的21端口;第二,就是禁止外部IP的TCP 20端口连接内部IP的<1024的端口,这条是为了防止外部连接内部的常规端口;第三条验证ACK是否等于1,这个的原理就参见TCP建立连接的三次握手吧。所以如果安全的配置的话非常困难,这个时候就想起来了PASV模式,因为不用建立新的连接,所以也就不会涉及到后面的问题了。但是管理员可能不想使用PASV模式,因为这个时候FTP Server会开放一个随机的高端口,尽管在IIS4和IIS5里面端口的范围是1024-5000,但是许多FTP Server的端口范围达到了1024-65535,这个时候在这个主动开放的随机端口上是有完全的访问权限的,如果IIS也要设置成开放的端口为 1024-65535, 具体方法如下:
1. regedt32
2. 找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. 编辑-添加-数值
value Name: MaxUserPort Data Type: REG_DWORD value: 65534
所以如果遇到了有防火墙的话或者怕配置麻烦的话还是采用PASV模式比较好些,但是如果真的对安全的需求很高的话建议采用主动模式。
