當(dāng)前位置:
首頁 >
FTP的连接方式(防火墙的配置)
發(fā)布時間:2025/3/15
27
豆豆
生活随笔
收集整理的這篇文章主要介紹了
FTP的连接方式(防火墙的配置)
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
? ? ?FTP是僅基于TCP的服務(wù),不支持UDP。與眾不同的是FTP使用2個端口,一個數(shù)據(jù)端口和一個命令端口(也可叫做控制端口)。通常來說這兩個端口是21(命令端口)和20(數(shù)據(jù)端口)。 ? ? ?但FTP工作方式的不同,數(shù)據(jù)端口并不總是20。這就是主動與被動FTP的最大不同之處。? ? ? ?(一)主動FTP?? ??????? 主動方式的FTP是這樣的:客戶端從一個任意的非特權(quán)端口N(N大于1024)連接到FTP服務(wù)器的命令端口,也就是21端口。然后客戶端開始監(jiān)聽端口N+1,并發(fā)送FTP命令“port N+1”到FTP服務(wù)器。接著服務(wù)器會從它自己的數(shù)據(jù)端口(20)連接到客戶端指定的數(shù)據(jù)端口(N+1)。 ??? 針對FTP服務(wù)器前面的防火墻來說,必須允許以下通訊才能支持主動方式FTP:???? ??? 1. 任何大于1024的端口N 到FTP服務(wù)器的21端口。(客戶端初始化的連接)??
??? 2. FTP服務(wù)器的21端口 到大于1024的端口N。 (服務(wù)器響應(yīng)客戶端的控制端口)?
??? 3. FTP服務(wù)器的20端口 到大于1024的端口。(服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口) ??? 4. 大于1024端口 到FTP服務(wù)器的20端口(客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口)? ? 可以簡單概括為以下兩點: ??? 1、主動FTP:??
??????????? 命令連接:客戶端 (大于1024端口) -> ?服務(wù)器 21端口??
??????????? 數(shù)據(jù)連接:服務(wù)器 20端口?-> ?客戶端(大于1024的端口) ? (二)被動FTP??
??? 為了解決服務(wù)器發(fā)起到客戶的連接的問題,人們開發(fā)了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當(dāng)客戶端通知服務(wù)器它處于被動模式時才啟用。 ?? 在被動方式FTP中,命令連接和數(shù)據(jù)連接都由客戶端發(fā)起,這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過濾掉的問題。 ?? 當(dāng)開啟一個 FTP連接時,客戶端打開兩個任意的非特權(quán)本地端口(N 大于 1024和N+1)。第一個端口連接服務(wù)器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令并允許服務(wù)器來回連它的數(shù)據(jù)端口,而是提交 PASV命令。這樣做的結(jié)果是服務(wù)器會開啟一個任意的非特權(quán)端口(P大于 1024),并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來傳送數(shù)據(jù)。??
?????? 對于服務(wù)器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:????? ??? 1. 從任何大于1024的端口N 到服務(wù)器的21端口(客戶端初始化的連接)??
??? 2. 服務(wù)器的21端口 到任何大于1024的端口N(服務(wù)器響應(yīng)到客戶端的控制端口的連接)
? ? ? ? ? ? 3. 從任何大于1024端口N+1 到服務(wù)器的大于1024端口X(客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口)
? ? ?(X這個端口是個1025--5000的端口) ??? 4. 服務(wù)器的大于1024端口X 到遠(yuǎn)程的大于1024的端口N+1(服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口) ? 2、被動FTP:?
??????????? 命令連接:客戶端大于1024端口 -> 服務(wù)器 21端口?
??????????? 數(shù)據(jù)連接:客戶端大于1024端口 -> 服務(wù)器大于1024端口 (通過21端口告訴客戶機(jī)自己打開哪個端口傳數(shù)據(jù)(這個端口是個1025--5000的端口)最后客戶機(jī)連接服務(wù)器的所告知的端口。這個過程中服務(wù)器除了要開放21端口外,還要開放1025--5000的所有端口才行,如果這樣開放就不是防火墻了。) ? ? ? ? 有些ftp客戶端默認(rèn)就是使用PASV被動模式來連接ftp服務(wù)器的,如果我們的ftp服務(wù)器只支持主動模式,就會造成客戶端可以進(jìn)行用戶驗證,但無法列目錄,也無法進(jìn)行數(shù)據(jù)傳送,并提示“你沒有權(quán)限”這樣的550返回錯誤。 ? ? ? ? ????這里探討一些解決方法,舊版本的IIS要修改注冊表才可以實現(xiàn)指定少部分端口用于被動傳輸,新版的IIS則可以在IIS FTP內(nèi)部直接設(shè)置哪些端口可以用于被動傳輸。 ? ? ? ? ? 如果無法升級,可以考慮使用serv-u軟件架設(shè)ftp,這個FTP服務(wù)器提供了PASV的端口范圍設(shè)置,這樣一來就可以做一個相對簡單又相對穩(wěn)定的設(shè)置。 ? ? ? ? ? ? 最后在外部物理防火墻也要進(jìn)行設(shè)置,
? ? ? ? ? ? ? ??方案: ? ? ? ? ? ? ? ? ?靜態(tài)端口地址映射,可以讓用戶通過外網(wǎng)地址+端口21來訪問內(nèi)網(wǎng)中特定的FTP服務(wù);
? ? ? ? ? ? ? ? ?在防火墻中設(shè)置ACL,充許用戶可以通過TCP訪問FTP服務(wù)器的6800-6900端口;
? ? ? (三)主動與被動FTP優(yōu)缺點:??????? ? ? 主動FTP對FTP服務(wù)器的管理有利,但對客戶端的管理不利。因為FTP服務(wù)器企圖與客戶端的高位隨機(jī)端口建立連接,而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利,但對服務(wù)器端的管理不利。因為客戶端要與服務(wù)器端建立兩個連接,其中一個連到一個高位隨機(jī)端口,而這個端口很有可能被服務(wù)器端的防火墻阻塞掉。 (四) 在因特網(wǎng)上找到許多FTP服務(wù)器,有的要么只支持PORT,有的要么只支持PASV,有的是因為考慮安全因素,有的是因為條件限制等等。
? ? ? ? 最好把你的FTP做成PORT和PASV方式都能支持的,這樣不會使客戶端在連接上受到困擾,特別是一些新手。 ? ? ? ? 比較容易理解的解釋是針對FTP服務(wù)端而言的
PORT是主動模式,在建立數(shù)據(jù)通道時,服務(wù)端去連接別人
PASV是被動模式,在建立數(shù)據(jù)通道時,服務(wù)端被別人連接
建立數(shù)據(jù)通道時,用PORT模式還是PASV模式,選擇權(quán)在于FTP客戶端 但是是否支持還要看服務(wù)端
具體點說是這樣
Port模式:
當(dāng)客戶端向服務(wù)端連接后,使用的是PORT模式,那么客戶端B會發(fā)送一條命令告訴服務(wù)端(客戶端B在本地打開了一個端口N在等著你進(jìn)行數(shù)據(jù)連接),當(dāng)服務(wù)端收到這個Port命令后 就會向客戶端打開的那個端口N進(jìn)行連接,這種數(shù)據(jù)連接就生成
Pasv模式:
當(dāng)客戶端B向服務(wù)端連接后,使用的是PASV模式,服務(wù)端會發(fā)信息給客戶端,這個信息是(服務(wù)端在本地打開了一個端口M,你現(xiàn)在去連接我吧),當(dāng)客戶端收到這個信息后,就可以向服務(wù)端的M端口進(jìn)行連接,連接成功后,數(shù)據(jù)連接也建立了 (五) IE瀏覽器默認(rèn)連接ftp為 被動模式連接
IE取消被動模式的方法:點瀏覽器的【工具】【Internet選項】【高級】使用被動ftp去掉該選項前的對勾,確定即可. 其他ftp軟件的設(shè)置方法 A:Flashfxp取消被動模式的方法:
第一步:點選項>參數(shù)選擇。
第二步,在跳出的窗口中,選擇“代理/防火墻標(biāo)識”
第三步,設(shè)置好用戶名和密碼,可以連上去了。
B:Cuteftp取消被動模式的方法:
第一步,點編輯>設(shè)置。
第二步:點防火墻,Pasv模式那里不要打勾
C、Leapftp取消被動模式的方法:
我手里的leapftp是英文版的。有興趣的可以試一下:
FLASHGET設(shè)置:
flashget里的數(shù)據(jù)類型的設(shè)置:工具菜單-->選項-->代理服務(wù)器-->編輯“直接連接”-->去掉PASV前的勾,確定 (六) 在IIS中的FTP服務(wù)器默認(rèn)是主動模式,如果要修改為被動模式 參考微軟文檔? http://technet.microsoft.com/zh-cn/library/dd421710 在新版的IIS7中,可以再FTP設(shè)置中,添加FTP被動模式,和被動連接時服務(wù)端開放的端口
??? 2. FTP服務(wù)器的21端口 到大于1024的端口N。 (服務(wù)器響應(yīng)客戶端的控制端口)?
??? 3. FTP服務(wù)器的20端口 到大于1024的端口。(服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口) ??? 4. 大于1024端口 到FTP服務(wù)器的20端口(客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口)? ? 可以簡單概括為以下兩點: ??? 1、主動FTP:??
??????????? 命令連接:客戶端 (大于1024端口) -> ?服務(wù)器 21端口??
??????????? 數(shù)據(jù)連接:服務(wù)器 20端口?-> ?客戶端(大于1024的端口) ? (二)被動FTP??
??? 為了解決服務(wù)器發(fā)起到客戶的連接的問題,人們開發(fā)了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當(dāng)客戶端通知服務(wù)器它處于被動模式時才啟用。 ?? 在被動方式FTP中,命令連接和數(shù)據(jù)連接都由客戶端發(fā)起,這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過濾掉的問題。 ?? 當(dāng)開啟一個 FTP連接時,客戶端打開兩個任意的非特權(quán)本地端口(N 大于 1024和N+1)。第一個端口連接服務(wù)器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令并允許服務(wù)器來回連它的數(shù)據(jù)端口,而是提交 PASV命令。這樣做的結(jié)果是服務(wù)器會開啟一個任意的非特權(quán)端口(P大于 1024),并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來傳送數(shù)據(jù)。??
?????? 對于服務(wù)器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:????? ??? 1. 從任何大于1024的端口N 到服務(wù)器的21端口(客戶端初始化的連接)??
??? 2. 服務(wù)器的21端口 到任何大于1024的端口N(服務(wù)器響應(yīng)到客戶端的控制端口的連接)
? ? ? ? ? ? 3. 從任何大于1024端口N+1 到服務(wù)器的大于1024端口X(客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口)
? ? ?(X這個端口是個1025--5000的端口) ??? 4. 服務(wù)器的大于1024端口X 到遠(yuǎn)程的大于1024的端口N+1(服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口) ? 2、被動FTP:?
??????????? 命令連接:客戶端大于1024端口 -> 服務(wù)器 21端口?
??????????? 數(shù)據(jù)連接:客戶端大于1024端口 -> 服務(wù)器大于1024端口 (通過21端口告訴客戶機(jī)自己打開哪個端口傳數(shù)據(jù)(這個端口是個1025--5000的端口)最后客戶機(jī)連接服務(wù)器的所告知的端口。這個過程中服務(wù)器除了要開放21端口外,還要開放1025--5000的所有端口才行,如果這樣開放就不是防火墻了。) ? ? ? ? 有些ftp客戶端默認(rèn)就是使用PASV被動模式來連接ftp服務(wù)器的,如果我們的ftp服務(wù)器只支持主動模式,就會造成客戶端可以進(jìn)行用戶驗證,但無法列目錄,也無法進(jìn)行數(shù)據(jù)傳送,并提示“你沒有權(quán)限”這樣的550返回錯誤。 ? ? ? ? ????這里探討一些解決方法,舊版本的IIS要修改注冊表才可以實現(xiàn)指定少部分端口用于被動傳輸,新版的IIS則可以在IIS FTP內(nèi)部直接設(shè)置哪些端口可以用于被動傳輸。 ? ? ? ? ? 如果無法升級,可以考慮使用serv-u軟件架設(shè)ftp,這個FTP服務(wù)器提供了PASV的端口范圍設(shè)置,這樣一來就可以做一個相對簡單又相對穩(wěn)定的設(shè)置。 ? ? ? ? ? ? 最后在外部物理防火墻也要進(jìn)行設(shè)置,
? ? ? ? ? ? ? ??方案: ? ? ? ? ? ? ? ? ?靜態(tài)端口地址映射,可以讓用戶通過外網(wǎng)地址+端口21來訪問內(nèi)網(wǎng)中特定的FTP服務(wù);
? ? ? ? ? ? ? ? ?在防火墻中設(shè)置ACL,充許用戶可以通過TCP訪問FTP服務(wù)器的6800-6900端口;
? ? ? (三)主動與被動FTP優(yōu)缺點:??????? ? ? 主動FTP對FTP服務(wù)器的管理有利,但對客戶端的管理不利。因為FTP服務(wù)器企圖與客戶端的高位隨機(jī)端口建立連接,而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利,但對服務(wù)器端的管理不利。因為客戶端要與服務(wù)器端建立兩個連接,其中一個連到一個高位隨機(jī)端口,而這個端口很有可能被服務(wù)器端的防火墻阻塞掉。 (四) 在因特網(wǎng)上找到許多FTP服務(wù)器,有的要么只支持PORT,有的要么只支持PASV,有的是因為考慮安全因素,有的是因為條件限制等等。
? ? ? ? 最好把你的FTP做成PORT和PASV方式都能支持的,這樣不會使客戶端在連接上受到困擾,特別是一些新手。 ? ? ? ? 比較容易理解的解釋是針對FTP服務(wù)端而言的
PORT是主動模式,在建立數(shù)據(jù)通道時,服務(wù)端去連接別人
PASV是被動模式,在建立數(shù)據(jù)通道時,服務(wù)端被別人連接
建立數(shù)據(jù)通道時,用PORT模式還是PASV模式,選擇權(quán)在于FTP客戶端 但是是否支持還要看服務(wù)端
具體點說是這樣
Port模式:
當(dāng)客戶端向服務(wù)端連接后,使用的是PORT模式,那么客戶端B會發(fā)送一條命令告訴服務(wù)端(客戶端B在本地打開了一個端口N在等著你進(jìn)行數(shù)據(jù)連接),當(dāng)服務(wù)端收到這個Port命令后 就會向客戶端打開的那個端口N進(jìn)行連接,這種數(shù)據(jù)連接就生成
Pasv模式:
當(dāng)客戶端B向服務(wù)端連接后,使用的是PASV模式,服務(wù)端會發(fā)信息給客戶端,這個信息是(服務(wù)端在本地打開了一個端口M,你現(xiàn)在去連接我吧),當(dāng)客戶端收到這個信息后,就可以向服務(wù)端的M端口進(jìn)行連接,連接成功后,數(shù)據(jù)連接也建立了 (五) IE瀏覽器默認(rèn)連接ftp為 被動模式連接
IE取消被動模式的方法:點瀏覽器的【工具】【Internet選項】【高級】使用被動ftp去掉該選項前的對勾,確定即可. 其他ftp軟件的設(shè)置方法 A:Flashfxp取消被動模式的方法:
第一步:點選項>參數(shù)選擇。
第二步,在跳出的窗口中,選擇“代理/防火墻標(biāo)識”
第三步,設(shè)置好用戶名和密碼,可以連上去了。
B:Cuteftp取消被動模式的方法:
第一步,點編輯>設(shè)置。
第二步:點防火墻,Pasv模式那里不要打勾
C、Leapftp取消被動模式的方法:
我手里的leapftp是英文版的。有興趣的可以試一下:
FLASHGET設(shè)置:
flashget里的數(shù)據(jù)類型的設(shè)置:工具菜單-->選項-->代理服務(wù)器-->編輯“直接連接”-->去掉PASV前的勾,確定 (六) 在IIS中的FTP服務(wù)器默認(rèn)是主動模式,如果要修改為被動模式 參考微軟文檔? http://technet.microsoft.com/zh-cn/library/dd421710 在新版的IIS7中,可以再FTP設(shè)置中,添加FTP被動模式,和被動連接時服務(wù)端開放的端口
?
轉(zhuǎn)載于:https://www.cnblogs.com/centos2017/p/7896824.html
總結(jié)
以上是生活随笔為你收集整理的FTP的连接方式(防火墙的配置)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 设计模式之代理模式,学习笔记
- 下一篇: ASP.Net WebForm温故知新学