收藏
下载资源 加入VIP,省得不是一点点

FTP的两种工作模式.doc

上传人:hw****26 文档编号:3063708 上传时间:2019-05-19 格式:DOC 页数:25 大小:120KB
下载 相关 举报
FTP的两种工作模式.doc_第1页
第1页 / 共25页
FTP的两种工作模式.doc_第2页
第2页 / 共25页
FTP的两种工作模式.doc_第3页
第3页 / 共25页
FTP的两种工作模式.doc_第4页
第4页 / 共25页
FTP的两种工作模式.doc_第5页
第5页 / 共25页
点击查看更多>>
资源描述

1、FTP 的两种工作模式(主动模式与被动模式) 2009-09-01 18:06:31标签:FTP 主动 被动 推送到技术圈 ftp 是基于 tcp 的服务,ftp 使用 2 个端口,一个数据端口和一个命令端口(也叫做控制端口)。通常命令端口是 21,数据端口是 20。主动 ftp主动模式的 ftp 是这样的;客户端从一个任意的非特权端口 n(n1024 )连接到 ftp 服务器的命令端口(21),然后客户端开始监听端口 n+1,并发送 ftp 命令“port n+1”到 ftp服务器。服务器从它自己的数据端口 20 连接到客户端指定的数据端口 n+1。针对 FTP 服务器前面的防火墙来说,必须

2、允许以下通讯才能支持主动方式 FTP:1. 任何端口到 FTP 服务器的 21 端口 (客户端初始化的连接 SC) 3. FTP 服务器的 20 端口到大于 1024 的端口(服务器端初始化数据连接到客户端的数据端口 S-C) 4. 大于 1024 端口到 FTP 服务器的 20 端口(客户端发送 ACK 响应到服务器的数据端口 S1024 和 N+1)。第一个端口连接服务器的 21 端口,但与主动方式的 FTP 不同,客户端不会提交 PORT 命令并允许服务器来回连它的数据端口,而是提交 PASV 命令。这样做的结果是服务器会开启一个任意的非特权端口(P 1024),并发送 PORT P 命

3、令给客户端。然后客户端发起从本地端口 N+1 到服务器的端口 P 的连接用来传送数据。 对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的 FTP: 1. 从任何端口到服务器的 21 端口 (客户端初始化的连接 SC) 3. 从任何端口到服务器的大于 1024 端口 (入;客户端初始化数据连接到服务器指定的任意端口 SC) 在第 1 步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第 2 步中,服务器返回命令“PORT 2024“,告诉客户端(服务器)用哪个端口侦听数据连接。在第 3 步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数

4、据连接。最后服务器在第 4 步中给客户端的数据端口返回一个“ACK“响应。 被动方式的 FTP 解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是,许多 FTP 守护程序,包括流行的 WU-FTPD 允许管理员指定 FTP 服务器使用的端口范围第二个问题是客户端有的支持被动模式,有的不支持被动模式,必须考虑如何能支持这些客户端,以及为他们提供解决办法。例如,Solaris 提供的 FTP 命令行工具就不支持被动模式,需要第三方的 FTP 客户端,比如 ncftp。总结 下面的图表会帮助管理员们记住每种 FTP 方式是怎样

5、工作的: 主动 FTP: 命令连接:客户端 1024 端口 - 服务器 21 端口 数据连接:客户端 1024 端口 1024 端口 - 服务器 21 端口 数据连接:客户端 1024 端口 - 服务器 1024 端口 下面是主动与被动 FTP 优缺点的简要总结: 主动 FTP 对 FTP 服务器的管理有利,但对客户端的管理不利。因为 FTP 服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动 FTP 对 FTP 客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙

6、阻塞掉。 幸运的是,有折衷的办法。既然 FTP 服务器的管理员需要他们的服务器有最多的客户连接,那么必须得支持被动 FTP。我们可以通过为 FTP 服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样,不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险,但它大大减少了危险。FTP 和 FTP 服务器简介 2007-07-28 00:18:20标签:FTP 服务器 推送到技术圈 FTP(File Transfer Protocol)是文件传输协议的简称。 FTP 的作用正如其名所示:FTP 的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着 FT

7、P 服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。 FTP 工作原理拿下传文件为例,当你启动 FTP 从远程计算机拷贝文件时,你事实上启动了两个程序:一个本地机上的 FTP 客户程序:它向 FTP 服务器提出拷贝文件的请求。另一个是启动在远程计算机的上的 FTP 服务器程序,它响应你的请求把你指定的文件传送到你的计算机中。FTP 采用“客户机/服务器”方式,用户端要在自己的本地计算机上安装 FTP 客户程序。FTP 客户程序有字符界面和图形界面两种。字符界面的 FTP 的命令复杂、繁多。图形界面的 FTP 客户程序,操作上要

8、简洁方便的多。简单地说,支持 FTP 协议的服务器就是 FTP 服务器,下面介绍一下什么是 FTP 协议(文件传输协议)一般来说,用户联网的首要目的就是实现信息共享,文件传输是信息共享非常重要的一个内容之一。Internet 上早期实现传输文件,并不是一件容易的事,我们知道 Internet 是一个非常复杂的计算机环境,有 PC,有工作站,有 MAC,有大型机,据统计连接在 Internet 上的计算机已有上千万台,而这些计算机可能运行不同的操作系统,有运行 Unix 的服务器,也有运行 Dos、Windows 的 PC 机和运行 MacOS 的苹果机等等,而各种操作系统之间的文件交流问题,需

9、要建立一个统一的文件传输协议,这就是所谓的 FTP。基于不同的操作系统有不同的 FTP 应用程序,而所有这些应用程序都遵守同一种协议,这样用户就可以把自己的文件传送给别人,或者从其它的用户环境中获得文件。与大多数 Internet 服务一样, FTP 也是一个客户机/服务器系统。用户通过一个支持 FTP 协议的客户机程序,连接到在远程主机上的 FTP 服务器程序。用户通过客户机程序向服务器程序发出命令,服务器程序执行用户所发出的命令,并将执行的结果返回到客户机。比如说,用户发出一条命令,要求服务器向用户传送某一个文件的一份拷贝,服务器会响应这条命令,将指定文件送至用户的机器上。客户机程序代表用

10、户接收到这个文件,将其存放在用户目录中。在 FTP 的使用当中,用户经常遇到两个概念:“ 下载“( Download)和“ 上载“(Upload) 。“下载“文件就是从远程主机拷贝文件至自己的计算机上;“上载“文件就是将文件从自己的计算机中拷贝至远程主机上。用 Internet 语言来说,用户可通过客户机程序向(从)远程主机上载(下载)文件。使用 FTP 时必须首先登录,在远程主机上获得相应的权限以后,方可上载或下载文件。也就是说,要想同哪一台计算机传送文件,就必须具有哪一台计算机的适当授权。换言之,除非有用户 ID 和口令,否则便无法传送文件。这种情况违背了 Internet 的开放性,In

11、ternet 上的 FTP 主机何止千万,不可能要求每个用户在每一台主机上都拥有帐号。匿名 FTP 就是为解决这个问题而产生的。匿名 FTP 是这样一种机制,用户可通过它连接到远程主机上,并从其下载文件,而无需成为其注册用户。系统管理员建立了一个特殊的用户 ID,名为 anonymous, Internet 上的任何人在任何地方都可使用该用户 ID。通过 FTP 程序连接匿名 FTP 主机的方式同连接普通 FTP 主机的方式差不多,只是在要求提供用户标识 ID 时必须输入 anonymous,该用户 ID 的口令可以是任意的字符串。习惯上,用自己的 E-mail 地址作为口令,使系统维护程序能

12、够记录下来谁在存取这些文件。值得注意的是,匿名 FTP 不适用于所有 Internet 主机,它只适用于那些提供了这项服务的主机。当远程主机提供匿名 FTP 服务时,会指定某些目录向公众开放,允许匿名存取。系统中的其余目录则处于隐匿状态。作为一种安全措施,大多数匿名 FTP 主机都允许用户从其下载文件,而不允许用户向其上载文件,也就是说,用户可将匿名 FTP 主机上的所有文件全部拷贝到自己的机器上,但不能将自己机器上的任何一个文件拷贝至匿名 FTP主机上。即使有些匿名 FTP 主机确实允许用户上载文件,用户也只能将文件上载至某一指定上载目录中。随后,系统管理员会去检查这些文件,他会将这些文件移

13、至另一个公共下载目录中,供其他用户下载,利用这种方式,远程主机的用户得到了保护,避免了有人上载有问题的文件,如带病毒的文件。作为一个 Internet 用户,可通过 FTP 在任何两台 Internet 主机之间拷贝文件。但是,实际上大多数人只有一个 Internet 帐户,FTP 主要用于下载公共文件,例如共享软件、各公司技术支持文件等。 Internet 上有成千上万台匿名 FTP 主机,这些主机上存放着数不清的文件,供用户免费拷贝。实际上,几乎所有类型的信息,所有类型的计算机程序都可以在 Internet 上找到。这是 Internet 吸引我们的重要原因之一。匿名 FTP 使用户有机会

14、存取到世界上最大的信息库,这个信息库是日积月累起来的,并且还在不断增长,永不关闭,涉及到几乎所有主题。而且,这一切是免费的。匿名 FTP 是 Internet 网上发布软件的常用方法。Internet 之所以能延续到今天,是因为人们使用通过标准协议提供标准服务的程序。像这样的程序,有许多就是通过匿名 FTP 发布的,任何人都可以存取它们。Internet 中的有数目巨大的匿名 FTP 主机以及更多的文件,那么到底怎样才能知道某一特定文件位于哪个匿名 FTP 主机上的那个目录中呢?这正是 Archie 服务器所要完成的工作。Archie 将自动在 FTP 主机中进行搜索,构造一个包含全部文件目录

15、信息的数据库,使你可以直接找到所需文件的位置信息。FTP 的主动被动和相关的防火墙设置 2009-08-07 09:01:29标签:FTP 防火墙 主动 被动 推送到技术圈 FTP 的主动被动和相关的防火墙设置ftp 分为两大类:主动 FTP,也就是一般的 FTP被动 FTP;主动 FTP 主动方式的 FTP 是这样的:客户端从一个任意的非特权端口 N(N1024)连接到 FTP 服务器的命令端口,也就是 21 端口。然后客户端开始端口 N+1,并发送 FTP 命令“port N+1”到 FTP 服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。针对 FTP

16、服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式 FTP:1. 任何端口到 FTP 服务器的 21 端口 (客户端初始化的连接 SC)3. FTP 服务器的 20 端口到大于 1024 的端口(服务器端初始化数据连接到客户端的数据端口 S-C)4. 大于 1024 端口到 FTP 服务器的 20 端口(客户端发送 ACK 响应到服务器的数据端口 S 1024 和 N+1)。第一个端口连接服务器的 21 端口,但与主动方式的 FTP 不同,客户端不会提交 PORT 命令并允许服务器来回连它的数据端口,而是提交 PASV 命令。这样做的结果是服务器会开启一个任意的非特权端口(P 1024)

17、,并发送 PORT P 命令给客户端。然后客户端发起从本地端口 N+1 到服务器的端口 P 的连接用来传送数据。对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的 FTP:1. 从任何端口到服务器的 21 端口 (客户端初始化的连接 C-S)2. 服务器的 21 端口到任何大于 1024 的端口 (服务器响应到客户端的控制端口的连接 S-C)3. 从任何端口到服务器的大于 1024 端口 (入;客户端初始化数据连接到服务器指定的任意端口 SC)防火墙设置的例子建置一个防火墙下的 FTP server,使用被动 FTP(Port FTP) mode:FTP port:21 以及 FT

18、P data port 从 9981 到 9986。执行以下两行指令,只允许 port 21 以及 port 9981-9990 开放,其它关闭。iptables -A INPUT -p tcp -m multiport -dport 21,9981,9982,9983,9984,9985,9986,9987,9988,9989,9990 -j ACCEPTiptables -A INPUT -p tcp -j REJECT -reject-with tcp-resetFTP 软件本身的设置以 vsFTP 为例子 . 修改/etc/vsFTPd/vsFTPd.conf新增底下四行listen_

19、port=21pasv_enable=YESpasv_min_port=9981pasv_max_port=9986设置错会出现的情况这个例子中,FTP client(如 cuteFTP)的联机方式必须选择 passive mode,否则无法建立数据的联机。也就是读者可以连上 FTP server,但是执行 ls,get 等等的指令时,便无法运作。最佳答案主动 FTP 主动方式的 FTP 是这样的:客户端从一个任意的非特权端口 N(N1024)连接到 FTP 服务器的命令端口,也就是 21 端口。然后客户端开始监听端口 N+1,并发送 FTP 命令“port N+1”到 FTP 服务器。接着服

20、务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。 针对 FTP 服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式 FTP: 1. 任何端口到 FTP 服务器的 21 端口 (客户端初始化的连接 SC) 3. FTP 服务器的 20 端口到大于 1024 的端口(服务器端初始化数据连接到客户端的数据端口 S-C) 4. 大于 1024 端口到 FTP 服务器的 20 端口(客户端发送 ACK 响应到服务器的数据端口 S USER slacker 331 Password required for slacker. Password: TmpPass - PASS X

21、XXX 230 User slacker logged in. - SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp ls ftp: setsockopt (ignored): Permission denied - PORT 192,168,150,80,14,178 200 PORT command successful. - LIST 150 Opening ASCII mode data connection for file list. drwx- 3

22、 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp quit - QUIT 221 Goodbye. 被动 FTP 为了解决服务器发起到客户的连接的问题,人们开发了一种不同的 FTP 连接方式。这就是所谓的被动方式,或者叫做 PASV,当客户端通知服务器它处于被动模式时才启用。 在被动方式 FTP 中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP 连接时,客户端打开两个任意的非特权本地端口(N 1024 和 N+1)。第一个端口连

23、接服务器的 21 端口,但与主动方式的 FTP 不同,客户端不会提交 PORT 命令并允许服务器来回连它的数据端口,而是提交PASV 命令。这样做的结果是服务器会开启一个任意的非特权端口(P 1024),并发送PORTP 命令给客户端。然后客户端发起从本地端口 N+1 到服务器的端口 P 的连接用来传送数据。对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的 FTP: 1. 从任何端口到服务器的 21 端口 (客户端初始化的连接 SC) 3. 从任何端口到服务器的大于 1024 端口 (入;客户端初始化数据连接到服务器指定的任意端口 SC) 画出来的话,被动方式的 FTP 连接过程

24、大概是下图的样子: 在第 1 步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第 2 步中,服务器返回命令“PORT2024“,告诉客户端(服务器)用哪个端口侦听数据连接。在第 3 步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第 4 步中给客户端的数据端口返回一个“ACK“响应。 被动方式的 FTP 解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是,许多 FTP 守护程序,包括流行的 WU-FTPD 允许管理员指定 FTP 服务器使用的端口范围。

25、详细内容参看附录1。 第二个问题是客户端有的支持被动模式,有的不支持被动模式,必须考虑如何能支持这些客户端,以及为他们提供解决办法。例如,Solaris 提供的 FTP 命令行工具就不支持被动模式,需要第三方的 FTP 客户端,比如 ncftp。 随着 WWW 的广泛流行,许多人习惯用 web 浏览器作为 FTP 客户端。大多数浏览器只在访问 ftp:/这样的 URL 时才支持被动.?的配置。 被动 FTP 的例子 下面是一个被动 FTP 会话的实际例子,只是服务器名、IP 地址和用户名都做了改动。在这个例子中,FTP 会话从(192.168.150.80),一个运行标准的 FTP 命令行客户

26、端的 Linux 工作站,发起到(192.168.150.90),一个运行 ProFTPd1.2.2RC2 的 Linux 工作站。 debugging(-d)选项用来在 FTP 客户端显示连接的详细过程。红色的文字是debugging 信息,显示的是发送到服务器的实际 FTP 命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。 注意此例中的 PORT 命令与主动 FTP 例子的不同。这里,我们看到是服务器(192.168.150.90)而不是客户端的一个端口被打开了。可以跟上面的主动 FTP 例子中的PORT 命令格式对比一下。 testbox1: /home

27、/p-t/slacker/public_html % ftp -d testbox2 Connected to . 220 FTP server ready. Name (testbox2:slacker): slacker - USER slacker 331 Password required for slacker. Password: TmpPass - PASS XXXX 230 User slacker logged in. - SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to tran

28、sfer files. ftp passive Passive mode on. ftp ls ftp: setsockopt (ignored): Permission denied - PASV 227 Entering Passive Mode (192,168,150,90,195,149). - LIST 150 Opening ASCII mode data connection for file list drwx- 3 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp quit - QUI

29、T 221 Goodbye. 总结 下面的图表会帮助管理员们记住每种 FTP 方式是怎样工作的: 主动 FTP: 命令连接:客户端 1024 端口 - 服务器 21 端口 数据连接:客户端 1024 端口 1024 端口 - 服务器 21 端口 数据连接:客户端 1024 端口 - 服务器 1024 端口 下面是主动与被动 FTP 优缺点的简要总结: 主动 FTP 对 FTP 服务器的管理有利,但对客户端的管理不利。因为 FTP 服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动 FTP 对 FTP 客户端的管理有利,但对服务器端的管理不利。因为客户端要与

30、服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。 幸运的是,有折衷的办法。既然 FTP 服务器的管理员需要他们的服务器有最多的客户连接,那么必须得支持被动 FTP。我们可以通过为 FTP 服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样,不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险,但它大大减少了危险。详细信息参看附录 1。 参考资料 OReilly 出版的组建 Internet 防火墙(第二版,Brent Chapman,Elizabeth Zwicky 著)是一本很不错的参考资料。里面讲述了各种 Internet 协议如何工作,以及有关防火墙的例子。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 精品笔记

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。