主動FTP vs. 被動FTP 權威解釋_網絡服務器

主動FTP vs. 被動FTP 權威解釋

發表于：2007-05-25來源：作者：點擊數：標簽：

感謝[b:ab43763758]pidan[/b:ab43763758]和[b:ab43763758]missing-cn[/b:ab43763758]翻譯本文！原文地址http://slacksite.com/other/ftp.html wolfg 回復于：2005-07-09 22:34:58 [b:1ce3d48ea7][size=18:1ce3d48ea7]主動FTP與被動FTP－權威解釋[/size:1ce3

感謝[b:ab43763758]pidan[/b:ab43763758]和[b:ab43763758]missing-cn[/b:ab43763758]翻譯本文！

原文地址 http://slacksite.com/other/ftp.html

wolfg 回復于：2005-07-09 22:34:58

[b:1ce3d48ea7][size=18:1ce3d48ea7]主動FTP與被動FTP－權威解釋[/size:1ce3d48ea7][/b:1ce3d48ea7]

[b:1ce3d48ea7][size=16:1ce3d48ea7]目錄[/size:1ce3d48ea7][/b:1ce3d48ea7]
[list:1ce3d48ea7]
[*:1ce3d48ea7] 開場白
[*:1ce3d48ea7] 基礎
[*:1ce3d48ea7] 主動FTP
[*:1ce3d48ea7] 主動FTP的例子
[*:1ce3d48ea7] 被動FTP
[*:1ce3d48ea7] 被動FTP的例子
[*:1ce3d48ea7] 總結
[*:1ce3d48ea7] 參考資料
[*:1ce3d48ea7] 附錄 1: 配置常見FTP服務器
[/list:u:1ce3d48ea7]

[b:1ce3d48ea7][size=16:1ce3d48ea7]開場白[/size:1ce3d48ea7][/b:1ce3d48ea7]

處理防火墻和其他網絡連接問題時最常見的一個難題是主動FTP與被動FTP的區別以及如何完美地支持它們。幸運地是，本文能夠幫助你清除在防火墻環境中如何支持FTP這個問題上的一些混亂。

本文也許不像題目聲稱的那樣是一個權威解釋，但我已經聽到了很多好的反饋意見，也看到了本文在許多地方被引用，知道了很多人都認為它很有用。雖然我一直在找尋改進的方法，但如果你發現某個地方講的不夠清楚，需要更多的解釋，請告訴我！最近的修改是增加了主動FTP和被動FTP會話中命令的例子。這些會話的例子應該對更好地理解問題有所幫助。例子中還提供了非常棒的圖例來解釋FTP會話過程的步驟?，F在，正題開始了...

[b:1ce3d48ea7][size=16:1ce3d48ea7]基礎[/size:1ce3d48ea7][/b:1ce3d48ea7]

FTP是僅基于TCP的服務，不支持UDP。與眾不同的是FTP使用2個端口，一個數據端口和一個命令端口（也可叫做控制端口）。通常來說這兩個端口是21－命令端口和20－數據端口。但當我們發現根據（FTP工作）方式的不同數據端口并不總是20時，混亂產生了。

[b:1ce3d48ea7][size=16:1ce3d48ea7]主動FTP[/size:1ce3d48ea7][/b:1ce3d48ea7]

主動方式的FTP是這樣的：客戶端從一個任意的非特權端口N（N>1024）連接到FTP服務器的命令端口，也就是21端口。然后客戶端開始監聽端口N+1，并發送FTP命令“port N+1”到FTP服務器。接著服務器會從它自己的數據端口（20）連接到客戶端指定的數據端口（N+1）。

針對FTP服務器前面的防火墻來說，必須允許以下通訊才能支持主動方式FTP：
[list=1:1ce3d48ea7]
[*:1ce3d48ea7]任何端口到FTP服務器的21端口（客戶端初始化的連接 S<-C）
[*:1ce3d48ea7]FTP服務器的21端口到大于1024的端口（服務器響應客戶端的控制端口 S->C）
[*:1ce3d48ea7]FTP服務器的20端口到大于1024的端口（服務器端初始化數據連接到客戶端的數據端口 S->C）
[*:1ce3d48ea7]大于1024端口到FTP服務器的20端口（客戶端發送ACK響應到服務器的數據端口 S<-C）
[/list:o:1ce3d48ea7]

畫出來的話，連接過程大概是下圖的樣子：
[img:1ce3d48ea7]http://slacksite.com/images/ftp/activeftp.gif[/img:1ce3d48ea7]

在第1步中，客戶端的命令端口與FTP服務器的命令端口建立連接，并發送命令“PORT 1027”。然后在第2步中，FTP服務器給客戶端的命令端口返回一個"ACK"。在第3步中，FTP服務器發起一個從它自己的數據端口（20）到客戶端先前指定的數據端口（1027）的連接，最后客戶端在第4步中給服務器端返回一個"ACK"。

主動方式FTP的主要問題實際上在于客戶端。FTP的客戶端并沒有實際建立一個到服務器數據端口的連接，它只是簡單的告訴服務器自己監聽的端口號，服務器再回來連接客戶端這個指定的端口。對于客戶端的防火墻來說，這是從外部系統建立到內部客戶端的連接，這是通常會被阻塞的。

[b:1ce3d48ea7][size=16:1ce3d48ea7]主動FTP的例子[/size:1ce3d48ea7][/b:1ce3d48ea7]

下面是一個主動FTP會話的實際例子。當然服務器名、IP地址和用戶名都做了改動。在這個例子中，FTP會話從 testbox1.slacksite.com (192.168.150.80)，一個運行標準的FTP命令行客戶端的Linux工作站，發起到testbox2.slacksite.com (192.168.150.90)，一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging（-d）選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息，顯示的是發送到服務器的實際FTP命令和所產生的回應信息。服務器的輸出信息用黑色字表示，用戶的輸入信息用粗體字表示。

仔細考慮這個對話過程我們會發現一些有趣的事情。我們可以看到當 PORT 命令被提交時，它指定了客戶端(192.168.150.80)上的一個端口而不是服務器的。當我們用被動FTP時我們會看到相反的現象。我們再來關注PORT命令的格式。就象你在下面的例子看到的一樣，它是一個由六個被逗號隔開的數字組成的序列。前四個表示IP地址，后兩個組成了用于數據連接的端口號。用第五個數乘以256再加上第六個數就得到了實際的端口號。下面例子中端口號就是( (14*256) + 178) = 3762。我們可以.netstat來驗證這個端口信息。

testbox1: {/home/p-t/slacker/public_html} % [b:1ce3d48ea7]ftp -d testbox2[/b:1ce3d48ea7]
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): [b:1ce3d48ea7]slacker[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> USER slacker[/color:1ce3d48ea7]
331 Password required for slacker.
Password:[b:1ce3d48ea7] TmpPass[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> PASS XXXX[/color:1ce3d48ea7]
230 User slacker logged in.
[color=#FF0000:1ce3d48ea7]---> SYST
215 UNIX Type: L8[/color:1ce3d48ea7]
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>[b:1ce3d48ea7] ls[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]ftp: setsockopt (ignored): Permission denied
---> PORT 192,168,150,80,14,178[/color:1ce3d48ea7]
200 PORT command successful.
[color=#FF0000:1ce3d48ea7]---> LIST[/color:1ce3d48ea7]
150 Opening ASCII mode data connection for file list.
drwx------   3 slacker    users         104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> [b:1ce3d48ea7]quit[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> QUIT[/color:1ce3d48ea7]
221 Goodbye.

[b:1ce3d48ea7][size=16:1ce3d48ea7]被動FTP[/size:1ce3d48ea7][/b:1ce3d48ea7]

為了解決服務器發起到客戶的連接的問題，人們開發了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知服務器它處于被動模式時才啟用。

在被動方式FTP中，命令連接和數據連接都由客戶端，這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時，客戶端打開兩個任意的非特權本地端口（N > 1024和N+1）。第一個端口連接服務器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令并允許服務器來回連它的數據端口，而是提交PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口（P > 1024），并發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。

對于服務器端的防火墻來說，必須允許下面的通訊才能支持被動方式的FTP:
[list=1:1ce3d48ea7]
[*:1ce3d48ea7]從任何端口到服務器的21端口（客戶端初始化的連接 S<-C）
[*:1ce3d48ea7]服務器的21端口到任何大于1024的端口（服務器響應到客戶端的控制端口的連接 S->C）
[*:1ce3d48ea7]從任何端口到服務器的大于1024端口（入；客戶端初始化數據連接到服務器指定的任意端口 S<-C）
[*:1ce3d48ea7]服務器的大于1024端口到遠程的大于1024的端口（出；服務器發送ACK響應和數據到客戶端的數據端口 S->C）
[/list:o:1ce3d48ea7]
畫出來的話，被動方式的FTP連接過程大概是下圖的樣子：
[img:1ce3d48ea7]http://slacksite.com/images/ftp/passiveftp.gif[/img:1ce3d48ea7]

在第1步中，客戶端的命令端口與服務器的命令端口建立連接，并發送命令“PASV”。然后在第2步中，服務器返回命令"PORT 2024"，告訴客戶端（服務器）用哪個端口偵聽數據連接。在第3步中，客戶端初始化一個從自己的數據端口到服務器端指定的數據端口的數據連接。最后服務器在第4 步中給客戶端的數據端口返回一個"ACK"響應。

被動方式的FTP解決了客戶端的許多問題，但同時給服務器端帶來了更多的問題。最大的問題是需要允許從任意遠程終端到服務器高位端口的連接。幸運的是，許多FTP守護程序，包括流行的WU-FTPD允許管理員指定FTP服務器使用的端口范圍。詳細內容參看附錄1。

第二個問題是客戶端有的支持被動模式，有的不支持被動模式，必須考慮如何能支持這些客戶端，以及為他們提供解決辦法。例如，Solaris提供的FTP命令行工具就不支持被動模式，需要第三方的FTP客戶端，比如ncftp。

隨著WWW的廣泛流行，許多人習慣用web瀏覽器作為FTP客戶端。大多數瀏覽器只在訪問ftp://這樣的URL時才支持被動模式。這到底是好還是壞取決于服務器和防火墻的配置。

[b:1ce3d48ea7][size=16:1ce3d48ea7]被動FTP的例子[/size:1ce3d48ea7][/b:1ce3d48ea7]

下面是一個被動FTP會話的實際例子，只是服務器名、IP地址和用戶名都做了改動。在這個例子中，FTP會話從 testbox1.slacksite.com (192.168.150.80)，一個運行標準的FTP命令行客戶端的Linux工作站，發起到testbox2.slacksite.com (192.168.150.90)，一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging（-d）選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息，顯示的是發送到服務器的實際FTP命令和所產生的回應信息。服務器的輸出信息用黑色字表示，用戶的輸入信息用粗體字表示。

注意此例中的PORT命令與主動FTP例子的不同。這里，我們看到是服務器(192.168.150.90)而不是客戶端的一個端口被打開了?？梢愿厦娴闹鲃覨TP例子中的PORT命令格式對比一下。

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): [b:1ce3d48ea7]slacker[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> USER slacker[/color:1ce3d48ea7]
331 Password required for slacker.
Password: [b:1ce3d48ea7]TmpPass[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> PASS XXXX[/color:1ce3d48ea7]
230 User slacker logged in.
[color=#FF0000:1ce3d48ea7]---> SYST
215 UNIX Type: L8[/color:1ce3d48ea7]
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> [b:1ce3d48ea7]passive[/b:1ce3d48ea7]
Passive mode on.
ftp> [b:1ce3d48ea7]ls[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]ftp: setsockopt (ignored): Permission denied[/color:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> PASV[/color:1ce3d48ea7]
227 Entering Passive Mode (192,168,150,90,195,149).
[color=#FF0000:1ce3d48ea7]---> LIST[/color:1ce3d48ea7]
150 Opening ASCII mode data connection for file list
drwx------   3 slacker    users         104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> [b:1ce3d48ea7]quit[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> QUIT[/color:1ce3d48ea7]
221 Goodbye.

[b:1ce3d48ea7][size=16:1ce3d48ea7]總結 [/size:1ce3d48ea7][/b:1ce3d48ea7]

下面的圖表會幫助管理員們記住每種FTP方式是怎樣工作的：

主動FTP：
   命令連接：客戶端 >1024端口 -> 服務器 21端口
   數據連接：客戶端 >1024端口 <- 服務器 20端口

被動FTP：
   命令連接：客戶端 >1024端口 -> 服務器 21端口
   數據連接：客戶端 >1024端口 -> 服務器 >1024端口

下面是主動與被動FTP優缺點的簡要總結：

主動FTP對FTP服務器的管理有利，但對客戶端的管理不利。因為FTP服務器企圖與客戶端的高位隨機端口建立連接，而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利，但對服務器端的管理不利。因為客戶端要與服務器端建立兩個連接，其中一個連到一個高位隨機端口，而這個端口很有可能被服務器端的防火墻阻塞掉。

幸運的是，有折衷的辦法。既然FTP服務器的管理員需要他們的服務器有最多的客戶連接，那么必須得支持被動FTP。我們可以通過為FTP服務器指定一個有限的端口范圍來減小服務器高位端口的暴露。這樣，不在這個范圍的任何端口會被服務器的防火墻阻塞。雖然這沒有消除所有針對服務器的危險，但它大大減少了危險。詳細信息參看附錄1。

[b:1ce3d48ea7][size=16:1ce3d48ea7]參考資料 [/size:1ce3d48ea7][/b:1ce3d48ea7]

O'Reilly出版的《組建Internet防火墻》（第二版，Brent Chapman，Elizabeth Zwicky著）是一本很不錯的參考資料。里面講述了各種Internet協議如何工作，以及有關防火墻的例子。

最權威的FTP參考資料是RFC 959，它是FTP協議的官方規范。RFC的資料可以從許多網站上下載，例如：[url]ftp://nic.merit.edu/documents/rfc/rfc0959.txt[/url] 。

[url=http://slacksite.com/other/ftp-appendix1.html]Active FTP vs. Passive FTP, Appendix 1[/url]

wolfg 回復于：2005-07-10 01:30:38

[b:d532e94af0][size=16:d532e94af0]幾種常見FTP服務器與被動方式有關的設置[/size:d532e94af0][/b:d532e94af0]

[b:d532e94af0]ProFTPD[/b:d532e94af0]
參考: http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-NAT.txt

MasqueradeAddress
PassivePorts

[b:d532e94af0]vsftpd[/b:d532e94af0]
參考: http://vsftpd.beasts.org/vsftpd_conf.html

pasv_enable
pasv_max_port
pasv_min_port
pasv_address

[b:d532e94af0]Pure-FTPd[/b:d532e94af0]

參考: http://www.pureftpd.org/README

-p --passiveportrange <minport:maxport>
-P --forcepassiveip <ip address>

authen 回復于：2005-07-15 09:59:41

:arrow: 收藏！

Lyphone 回復于：2005-07-26 19:30:03

好~~~~~~~~~~~~~~~~~~帖?。。?！

bnq 回復于：2005-07-27 18:39:29

找了很久，謝了！

missing-cn 回復于：2005-08-03 17:32:48

[quote:9f2d6cc5a5="wolfg"]疚模?

原文地址 http://slacksite.com/other/ftp.html[/quote:9f2d6cc5a5]

斑竹客氣了，主要是pidan兄翻譯的，不要寫我的名字嘍 :lol:

pidan兄翻譯的很好，另外斑竹整理也辛苦了 :mrgreen:

sinboy2002 回復于：2005-08-14 01:34:54

受教了
謝謝

Mc_Hill 回復于：2005-08-14 21:16:30

mark!!!

sleuthyt 回復于：2005-08-16 09:49:50

一個需要公網IP，一個不需要公網IP

hongfengyue 回復于：2005-09-08 08:46:45

Mark!

謝謝^_^

原文轉自：http://www.kjueaiud.com

相關文章

解密阿里云之飛天平臺內核

解析Google集群資源管理系統Omega

kvm 虛擬機的詳細說明

好的系統管理員應該是個瞎子

查看IIS中應用程序池相對應的網站

Apache設置web 緩存

周排行

月排行

下載

全網最詳細的接口測試實戰

先測試再開發？TDD測試驅動

自動化測試架構

軟件測試架構師的知識能力

大數據平臺測試方法

用不同的測試模型來構建測

當軟件測試遇上ChatGPT：軟件

全網最詳細的接口測試實戰

先測試再開發？TDD測試驅動

自動化測試架構

軟件測試架構師的知識能力

大數據平臺測試方法

用不同的測試模型來構建測

當軟件測試遇上ChatGPT：軟件

MBT基于模型的測試介紹資料

iso29119相關介紹性資料

HP QTP 10 中文版官方中文補丁

HP QTP 10 英文版下載地址

HP ALM 11 官方中文版下載地址

Quality Center 9.0中文版下載地

HttpWatch Basic Edition Version 7.

WIN2003+ORACLE11G+QC11(ALM11) 安裝

WIN2003+SQL2005(SP3)+QC11(ALM11) 安

軟件測試沙龍 More>>

新浪微博 More>>

熱門標簽

功能測試

性能測試

安全測試

本地化測試

游戲測試

web測試

單元測試

敏捷測試

測試用例

測試模版

測試管理

測試工具

《測試團隊的招聘與管理

《我們應該如何構建我們

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > 網絡服務器 >

主動FTP vs. 被動FTP 權威解釋