總結:主動模式 與 被動模式是針對ftp伺服器來說明的
在傳送資料的時候 ftp伺服器主動連線客戶端的是主動模式
在傳送資料的時候 客戶端主動連線伺服器的是被動模式
而主被動的連線方式 是在ftp客戶端上設定的
1. 什麼是pasv模式和port模式?
ftp port模式(主動模式)
主動方式的ftp是這樣的:客戶端從乙個任意的非特權埠n(n>1024)連線到ftp伺服器的命令埠(即tcp
21埠)。緊接著客戶端開始監聽埠n+1,並傳送ftp命令「port
n+1」到ftp伺服器。最後伺服器會從它自己的資料埠(20)連線到客戶端指定的資料埠(n+1),這樣客戶端就可以和ftp伺服器建立資料傳輸通
道了。ftp pasv模式(被動模式)
在被動方式ftp中,命令連線和資料連線都由客戶端。當開啟乙個ftp連線時,客戶端開啟兩個任意的非特權本地埠(n >
1024和n+1)。第乙個埠連線伺服器的21埠,但與主動方式的ftp不同,客戶端不會提交port命令並允許伺服器來回連它的資料埠,而是提交
pasv命令。這樣做的結果是伺服器會開啟乙個任意的非特權埠(p > 1024),並傳送port
p命令給客戶端。然後客戶端發起從本地埠n+1到伺服器的埠p的連線用來傳送資料。
ftp port模式只要開啟伺服器的21和20埠,而ftp
pasv需要開啟伺服器大於1024所有tcp埠和21埠。重網路安全的角度來看的話似乎ftp port模式更安全,而ftp
pasv更不安全,那麼為什麼rfc要在ftp port基礎再制定乙個ftp pasv模式呢?其實rfc制定ftp
pasv模式的主要目的是為了資料傳輸安全角度出發的,因為ftp
port使用固定20埠進行傳輸資料,那麼作為黑客很容使用sniffer等探嗅器抓取ftp資料,這樣一來通過ftp
port模式傳輸資料很容易被黑客竊取,因此使用pasv方式來架設ftp server是最安全絕佳方案。
結論:如果只是簡單的為了檔案共享,完全可以禁用pasv模式,解除開放大量埠的威脅,同時也為防火牆的設定帶來便利。
2. vsftpd如何設定pasv模式?
pasv_enable=yes (
default: yes
) 設定是否允許pasv模式
pasv_promiscuous=no (
default: no
) 是否遮蔽對pasv進行安全檢查,(當有安全隧道時可禁用)
pasv_max_port=10240
(default: 0 (use any port)
) pasv使用的最大埠
pasv_min_port
=1024 (default: 0 (use any port)
) pasv使用的最小埠
pasv_address (
default: (none - the address is taken from the incoming connected socket)
) pasv模式中伺服器傳回的ip位址
FTP的主被動模式
自 在主動模式下,ftp客戶端隨機開啟乙個大於1024的埠n向伺服器的21號埠發起連線,然後開放n 1號埠進行監聽,並向伺服器發出port n 1命令。伺服器接收到命令後,會用其本地的ftp資料埠 通常是20 來連線客戶端指定的埠n 1,進行資料傳輸。在被動模式下,ftp庫戶端隨機開啟乙個大於102...
FTP主動模式及被動模式
起初,ftp並不是應用於ip網路上的協議,而是arpanet網路中計算機間的檔案傳輸協議,arpanet是美國國防部組建的老網路,於1960 1980年使用。在那時,ftp的主要功能是在主機間高速可靠地傳輸檔案。目前ftp仍然保持其可靠性,即使在今天,它還允許檔案遠端訪問。這使得使用者可以在某個系統...
FTP主動模式及被動模式
ftp主動模式及被動模式 ftp的特殊性 大多數的tcp服務是使用單個的連線,一般是客戶向伺服器的乙個周知埠發起連線,然後使用這個連線進行通訊。但是,ftp協議卻有所不同,它使用雙向的多個連線,而且使用的埠很難預計。一般,ftp連線包括 乙個控制連線 control connection 這個連線用...