主動FTP與被動FTP-權威解釋(藏)
主動FTP與被動FTP-權威解釋
目錄
• 開場白
• 基礎
• 主動FTP
• 主動FTP的例子
• 被動FTP
• 被動FTP的例子
• 總結
• 參考資料
• 附錄 1: 配置常見FTP伺服器
開場白
處理防火牆和其他網絡連接配接問題時最常見的一個難題是主動FTP與被動FTP的差別以及如何完美地支援它們。幸運地是,本文能夠幫助你清除在防火牆環境中如何支援FTP這個問題上的一些混亂。
本文也許不像題目聲稱的那樣是一個權威解釋,但我已經聽到了很多好的回報意見,也看到了本文在許多地方被引用,知道了很多人都認為它很有用。雖然我一直在找尋改進的方法,但如果你發現某個地方講的不夠清楚,需要更多的解釋,請告訴我!最近的修改是增加了主動FTP和被動FTP會話中指令的例子。這些會話的例子應該對更好地了解問題有所幫助。例子中還提供了非常棒的圖例來解釋FTP會話過程的步驟。現在,正題開始了...
基礎
FTP是僅基于TCP的服務,不支援UDP。 與衆不同的是FTP使用2個端口,一個資料端口和一個指令端口(也可叫做控制端口)。通常來說這兩個端口是21-指令端口和20-資料端口。但當我們發現根據(FTP工作)方式的不同資料端口并不總是20時,混亂産生了。
主動FTP
主動方式的FTP是這樣的:用戶端從一個任意的非特權端口N(N>;1024)連接配接到FTP伺服器的指令端口,也就是21端口。然後用戶端開始監聽端口N+1,并發送FTP指令“port N+1”到FTP伺服器。接着伺服器會從它自己的資料端口(20)連接配接到用戶端指定的資料端口(N+1)。
針對FTP伺服器前面的防火牆來說,必須允許以下通訊才能支援主動方式FTP:
任何端口到FTP伺服器的21端口 (用戶端初始化的連接配接 S<-C)
FTP伺服器的21端口到大于1023的端口(伺服器響應用戶端的控制端口 S->C)
FTP伺服器的20端口到大于1023的端口(伺服器端初始化資料連接配接到用戶端的資料端口 S->C)
大于1023端口到FTP伺服器的20端口(用戶端發送ACK響應到伺服器的資料端口 S<-C)
畫出來的話,連接配接過程大概是下圖的樣子:
在第1步中,用戶端的指令端口與FTP伺服器的指令端口建立連接配接,并發送指令“PORT 1027”。然後在第2步中,FTP伺服器給用戶端的指令端口傳回一個"ACK"。在第3步中,FTP伺服器發起一個從它自己的資料端口(20)到用戶端先前指定的資料端口(1027)的連接配接,最後用戶端在第4步中給伺服器端傳回一個"ACK"。
主動方式FTP的主要問題實際上在于用戶端。FTP的用戶端并沒有實際建立一個到伺服器資料端口的連接配接,它隻是簡單的告訴伺服器自己監聽的端口号,伺服器再回來連接配接用戶端這個指定的端口。對于用戶端的防火牆來說,這是從外部系統建立到内部用戶端的連接配接,這是通常會被阻塞的。
主動FTP的例子
下面是一個主動FTP會話的實際例子。當然伺服器名、IP位址和使用者名都做了改動。在這個例子中,FTP會話從 testbox1.slacksite.com (192.168.150.80),一個運作标準的FTP指令行用戶端的Linux工作站,發起到testbox2.slacksite.com (192.168.150.90),一個運作ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)選項用來在FTP用戶端顯示連接配接的詳細過程。紅色的文字是 debugging資訊,顯示的是發送到伺服器的實際FTP指令和所産生的回應資訊。伺服器的輸出資訊用黑色字表示,使用者的輸入資訊用粗體字表示。
仔細考慮這個對話過程我們會發現一些有趣的事情。我們可以看到當 PORT 指令被送出時,它指定了用戶端(192.168.150.80)上的一個端口而不是伺服器的。當我們用被動FTP時我們會看到相反的現象。我們再來關注PORT指令的格式。就象你在下面的例子看到的一樣,它是一個由六個被逗号隔開的數字組成的序列。前四個表示IP位址,後兩個組成了用于資料連接配接的端口号。用第五個數乘以256再加上第六個數就得到了實際的端口号。下面例子中端口号就是( (14*256) + 178) = 3762。我們可以用netstat來驗證這個端口資訊。
testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
---> USER slacker
331 Password required for slacker.
Password: TmpPass
---> PASS XXXX
230 User slacker logged in.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
ftp: setsockopt (ignored): Permission denied
---> PORT 192,168,150,80,14,178
200 PORT command successful.
---> LIST
150 Opening ASCII mode data connection for file list.
drwx------ 3 slacker users 104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> quit
---> QUIT
221 Goodbye.
被動FTP
為了解決伺服器發起到客戶的連接配接的問題,人們開發了一種不同的FTP連接配接方式。這就是所謂的被動方式,或者叫做PASV,當用戶端通知伺服器它處于被動模式時才啟用。
在被動方式FTP中,指令連接配接和資料連接配接都由用戶端,這樣就可以解決從伺服器到用戶端的資料端口的入方向連接配接被防火牆過濾掉的問題。當開啟一個FTP連接配接時,用戶端打開兩個任意的非特權本地端口(N >; 1024和N+1)。第一個端口連接配接伺服器的21端口,但與主動方式的FTP不同,用戶端不會送出PORT指令并允許伺服器來回連它的資料端口,而是送出PASV指令。這樣做的結果是伺服器會開啟一個任意的非特權端口(P >; 1024),并發送PORT P指令給用戶端。然後用戶端發起從本地端口N+1到伺服器的端口P的連接配接用來傳送資料。
對于伺服器端的防火牆來說,必須允許下面的通訊才能支援被動方式的FTP:
從任何端口到伺服器的21端口 (用戶端初始化的連接配接 S<-C)
伺服器的21端口到任何大于1023的端口 (伺服器響應到用戶端的控制端口的連接配接 S->C)
從任何端口到伺服器的大于1023端口 (入;用戶端初始化資料連接配接到伺服器指定的任意端口 S<-C)
伺服器的大于1023端口到遠端的大于1023的端口(出;伺服器發送ACK響應和資料到用戶端的資料端口 S->C)
畫出來的話,被動方式的FTP連接配接過程大概是下圖的樣子:
在第1步中,用戶端的指令端口與伺服器的指令端口建立連接配接,并發送指令“PASV”。然後在第2步中,伺服器傳回指令"PORT 2024",告訴用戶端(伺服器)用哪個端口偵聽資料連接配接。在第3步中,用戶端初始化一個從自己的資料端口到伺服器端指定的資料端口的資料連接配接。最後伺服器在第4 步中給用戶端的資料端口傳回一個"ACK"響應。
被動方式的FTP解決了用戶端的許多問題,但同時給伺服器端帶來了更多的問題。最大的問題是需要允許從任意遠端終端到伺服器高位端口的連接配接。幸運的是,許多FTP守護程式,包括流行的WU-FTPD允許管理者指定FTP伺服器使用的端口範圍。詳細内容參看附錄1。
第二個問題是用戶端有的支援被動模式,有的不支援被動模式,必須考慮如何能支援這些用戶端,以及為他們提供解決辦法。例如,Solaris提供的FTP指令行工具就不支援被動模式,需要第三方的FTP用戶端,比如ncftp。
随着WWW的廣泛流行,許多人習慣用web浏覽器作為FTP用戶端。大多數浏覽器隻在通路ftp://這樣的URL時才支援被動模式。這到底是好還是壞取決于伺服器和防火牆的配置。
被動FTP的例子
下面是一個被動FTP會話的實際例子,隻是伺服器名、IP位址和使用者名都做了改動。在這個例子中,FTP會話從 testbox1.slacksite.com (192.168.150.80),一個運作标準的FTP指令行用戶端的Linux工作站,發起到testbox2.slacksite.com (192.168.150.90),一個運作ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)選項用來在FTP用戶端顯示連接配接的詳細過程。紅色的文字是 debugging資訊,顯示的是發送到伺服器的實際FTP指令和所産生的回應資訊。伺服器的輸出資訊用黑色字表示,使用者的輸入資訊用粗體字表示。
注意此例中的PORT指令與主動FTP例子的不同。這裡,我們看到是伺服器(192.168.150.90)而不是用戶端的一個端口被打開了。可以跟上面的主動FTP例子中的PORT指令格式對比一下。
ftp> passive
Passive mode on.
---> PASV
227 Entering Passive Mode (192,168,150,90,195,149).
150 Opening ASCII mode data connection for file list
ftp>; quit
總結
下面的圖表會幫助管理者們記住每種FTP方式是怎樣工作的:
主動FTP:
指令連接配接:用戶端 >1023端口 -> 伺服器 21端口
資料連接配接:用戶端 >1023端口 <- 伺服器 20端口
被動FTP:
資料連接配接:用戶端 >1023端口 -> 伺服器 >1023端口
下面是主動與被動FTP優缺點的簡要總結:
主動FTP對FTP伺服器的管理有利,但對用戶端的管理不利。因為FTP伺服器企圖與用戶端的高位随機端口建立連接配接,而這個端口很有可能被用戶端的防火牆阻塞掉。被動FTP對FTP用戶端的管理有利,但對伺服器端的管理不利。因為用戶端要與伺服器端建立兩個連接配接,其中一個連到一個高位随機端口,而這個端口很有可能被伺服器端的防火牆阻塞掉。
幸運的是,有折衷的辦法。既然FTP伺服器的管理者需要他們的伺服器有最多的客戶連接配接,那麼必須得支援被動FTP。我們可以通過為FTP伺服器指定一個有限的端口範圍來減小伺服器高位端口的暴露。這樣,不在這個範圍的任何端口會被伺服器的防火牆阻塞。雖然這沒有消除所有針對伺服器的危險,但它大大減少了危險。詳細資訊參看附錄1。
參考資料
O'Reilly出版的《組建Internet防火牆》(第二版,Brent Chapman,Elizabeth Zwicky著)是一本很不錯的參考資料。裡面講述了各種Internet協定如何工作,以及有關防火牆的例子。
最權威的FTP參考資料是RFC 959,它是FTP協定的官方規範。RFC的資料可以從許多網站上下載下傳,例如:ftp://nic.merit.edu/documents/rfc/rfc0959.txt 。
Active FTP vs. Passive FTP, Appendix 1
vsftp主被動模式設定(/etc/vsftpd/vsftpd.conf)
開啟被動模式的配置:
connect_from_port_20=NO(預設為YES) #設定是否允許主動模式
pasv_enable=YES(預設為YES) #設定是否允許被動模式
pasv_min_port=50000(default:0(use any port))
pasv_max_port=60000(default:0(use any port))
開啟主動模式的配置:
connect_from_port_20=YES
pasv_enable=NO