感谢[b:ab43763758]pidan[/b:ab43763758]和[b:ab43763758]missing-cn[/b:ab43763758]翻译本文!
原文地址 http://slacksite.com/other/ftp.html
wolfg 回复于:2005-07-09 22:34:58[b:1ce3d48ea7][size=18:1ce3d48ea7]主动FTP与被动FTP-权威解释[/size:1ce3d48ea7][/b:1ce3d48ea7]
[b:1ce3d48ea7][size=16:1ce3d48ea7]目录[/size:1ce3d48ea7][/b:1ce3d48ea7]
[list:1ce3d48ea7]
[*:1ce3d48ea7] 开场白
[*:1ce3d48ea7] 基础
[*:1ce3d48ea7] 主动FTP
[*:1ce3d48ea7] 主动FTP的例子
[*:1ce3d48ea7] 被动FTP
[*:1ce3d48ea7] 被动FTP的例子
[*:1ce3d48ea7] 总结
[*:1ce3d48ea7] 参考资料
[*:1ce3d48ea7] 附录 1: 配置常见FTP服务器
[/list:u:1ce3d48ea7]
[b:1ce3d48ea7][size=16:1ce3d48ea7]开场白[/size:1ce3d48ea7][/b:1ce3d48ea7]
处理防火墙和其他网络连接问题时最常见的一个难题是主动FTP与被动FTP的区别以及如何完美地支持它们。幸运地是,本文能够帮助你清除在防火墙环境中如何支持FTP这个问题上的一些混乱。
本文也许不像题目声称的那样是一个权威解释,但我已经听到了很多好的反馈意见,也看到了本文在许多地方被引用,知道了很多人都认为它很有用。虽然我一直在找寻改进的方法,但如果你发现某个地方讲的不够清楚,需要更多的解释,请告诉我!最近的修改是增加了主动FTP和被动FTP会话中命令的例子。这些会话的例子应该对更好地理解问题有所帮助。例子中还提供了非常棒的图例来解释FTP会话过程的步骤。现在,正题开始了...
[b:1ce3d48ea7][size=16:1ce3d48ea7]基础[/size:1ce3d48ea7][/b:1ce3d48ea7]
FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21-命令端口和20-数据端口。但当我们发现根据(FTP工作)方式的不同数据端口并不总是20时,混乱产生了。
[b:1ce3d48ea7][size=16:1ce3d48ea7]主动FTP[/size:1ce3d48ea7][/b:1ce3d48ea7]
主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。
针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:
[list=1:1ce3d48ea7]
[*:1ce3d48ea7]任何端口到FTP服务器的21端口 (客户端初始化的连接 S<-C)
[*:1ce3d48ea7]FTP服务器的21端口到大于1024的端口(服务器响应客户端的控制端口 S->C)
[*:1ce3d48ea7]FTP服务器的20端口到大于1024的端口(服务器端初始化数据连接到客户端的数据端口 S->C)
[*:1ce3d48ea7]大于1024端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口 S<-C)
[/list:o:1ce3d48ea7]
画出来的话,连接过程大概是下图的样子:
[img:1ce3d48ea7]http://slacksite.com/images/ftp/activeftp.gif[/img:1ce3d48ea7]
在第1步中,客户端的命令端口与FTP服务器的命令端口建立连接,并发送命令“PORT 1027”。然后在第2步中,FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。
主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说,这是从外部系统建立到内部客户端的连接,这是通常会被阻塞的。
[b:1ce3d48ea7][size=16:1ce3d48ea7]主动FTP的例子[/size:1ce3d48ea7][/b:1ce3d48ea7]
下面是一个主动FTP会话的实际例子。当然服务器名、IP地址和用户名都做了改动。在这个例子中,FTP会话从 testbox1.slacksite.com (192.168.150.80),一个运行标准的FTP命令行客户端的Linux工作站,发起到testbox2.slacksite.com (192.168.150.90),一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息,显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。
仔细考虑这个对话过程我们会发现一些有趣的事情。我们可以看到当 PORT 命令被提交时,它指定了客户端(192.168.150.80)上的一个端口而不是服务器的。当我们用被动FTP时我们会看到相反的现象。我们再来关注PORT命令的格式。就象你在下面的例子看到的一样,它是一个由六个被逗号隔开的数字组成的序列。前四个表示IP地址,后两个组成了用于数据连接的端口号。用第五个数乘以256再加上第六个数就得到了实际的端口号。下面例子中端口号就是( (14*256) + 178) = 3762。我们可以用netstat来验证这个端口信息。
testbox1: {/home/p-t/slacker/public_html} % [b:1ce3d48ea7]ftp -d testbox2[/b:1ce3d48ea7]
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): [b:1ce3d48ea7]slacker[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> USER slacker[/color:1ce3d48ea7]
331 Password required for slacker.
Password:[b:1ce3d48ea7] TmpPass[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> PASS XXXX[/color:1ce3d48ea7]
230 User slacker logged in.
[color=#FF0000:1ce3d48ea7]---> SYST
215 UNIX Type: L8[/color:1ce3d48ea7]
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>[b:1ce3d48ea7] ls[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]ftp: setsockopt (ignored): Permission denied
---> PORT 192,168,150,80,14,178[/color:1ce3d48ea7]
200 PORT command successful.
[color=#FF0000:1ce3d48ea7]---> LIST[/color:1ce3d48ea7]
150 Opening ASCII mode data connection for file list.
drwx------ 3 slacker users 104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> [b:1ce3d48ea7]quit[/b:1ce3d48ea7]
[color=#FF0000:1ce3d48ea7]---> QUIT[/color:1ce3d48ea7]
221 Goodbye.
[b:1ce3d48ea7][size=16:1ce3d48ea7]被动FTP[/size:1ce3d48ea7][/b:1ce3d48ea7]
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。
在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N > 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:
[list=1:1ce3d48ea7]
[*:1ce3d48ea7]从任何端口到服务器的21端口 (客户端初始化的连接 S<-C)
[*:1ce3d48ea7]服务器的21端口到任何大于1024的端口 (服务器响应到客户端的控制端口的连接 S->C)
[*:1ce3d48ea7]从任何端口到服务器的大于1024端口 (入;客户端初始化数据连接到服务器指定的任意端口 S<-C)
[*:1ce3d48ea7]服务器的大于1024端口到远程的大于1024的端口(出;服务器发送ACK响应和数据到客户端的数据端口 S->C)
[/list:o:1ce3d48ea7]
画出来的话,被动方式的FTP连接过程大概是下图的样子:
[img:1ce3d48ea7]http://slacksite.com/images/ftp/passiveftp.gif[/img:1ce3d48ea7]
在第1步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第2步中,服务器返回命令"PORT 2024",告诉客户端(服务器)用哪个端口侦听数据连接。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。
被动方式的FTP解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要