ftp的port和pasv模式

一、ftp的port和pasv模式的工作方式

ftp使用2個tcp埠，首先是建立乙個命令埠（控制埠），然後再產生乙個資料埠。國內很多教科書都講ftp使用21命令埠和20資料埠，這個應該是教書更新太慢的原因吧。實際上ftp分為主動模式和被動模式兩種，ftp工作在主動模式使用tcp 21和20兩個埠，而工作在被動模式會工作在大於1024隨機埠。ftp最權威的參考見rfc 959，有興趣的朋友可以仔細閱讀

的文件了解ftp詳細工作模式和命令。目前主流的ftp server伺服器模式都是同時支援port和pasv兩種方式，但是為了方便管理安全管理防火牆和設定acl了解ftp server的port和pasv模式是很有必要的。

1.1 ftp port模式（主動模式）

主動方式的ftp是這樣的：客戶端從乙個任意的非特權埠n（n>1024）連線到ftp伺服器的命令埠(即tcp 21埠)。緊接著客戶端開始監聽埠n+1，並傳送ftp命令「port n+1」到ftp伺服器。最後伺服器會從它自己的資料埠（20）連線到客戶端指定的資料埠（n+1），這樣客戶端就可以和ftp伺服器建立資料傳輸通道了。ftp port模式工作流程如下圖所示：

針對ftp伺服器前面的防火牆來說，必須允許以下通訊才能支援主動方式ftp：

1、客戶端口》1024埠到ftp伺服器的21埠（入：客戶端初始化的連線 s

2、ftp伺服器的21埠到客戶端》1024的埠（出：伺服器響應客戶端的控制埠 s->c）

3、ftp伺服器的20埠到客戶端》1024的埠（出:伺服器端初始化資料連線到客戶端的資料埠 s->c）

4、客戶端》1024埠到ftp伺服器的20埠（入：客戶端傳送ack響應到伺服器的資料埠 s

如果伺服器的ip為192.168.10.1在h3c 8500的gigabitethernet 2/1/10 上建立in acl策略允許ftp 主動模式其他禁止：

rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024

rule permit tcp source 192.168.10.1 0 source-port eq 20 destination-port gt 1024

rele deny ip

1.2 ftp pasv模式（被動模式）

在被動方式ftp中，命令連線和資料連線都由客戶端。當開啟乙個ftp連線時，客戶端開啟兩個任意的非特權本地埠（n > 1024和n+1）。第乙個埠連線伺服器的21埠，但與主動方式的ftp不同，客戶端不會提交port命令並允許伺服器來回連它的資料埠，而是提交pasv命令。這樣做的結果是伺服器會開啟乙個任意的非特權埠（p > 1024），並傳送port p命令給客戶端。然後客戶端發起從本地埠n+1到伺服器的埠p的連線用來傳送資料。ftp pasv模式工作流程如下圖所示：

對於伺服器端的防火牆來說，必須允許下面的通訊才能支援被動方式的ftp:

1、客戶端》1024埠到伺服器的21埠（入：客戶端初始化的連線 s

2、伺服器的21埠到客戶端》1024的埠（出：伺服器響應到客戶端的控制埠的連線 s->c）

3、客戶端》1024埠到伺服器的大於1024埠（入：客戶端初始化資料連線到伺服器指定的任意埠 s

4、伺服器的大於1024埠到遠端的大於1024的埠（出：伺服器傳送ack響應和資料到客戶端的資料埠 s->c）

如果伺服器的ip為192.168.10.1在h3c 8500的gigabitethernet 2/1/10 上建立in acl策略允許ftp 主動模式其他禁止：

rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024

rule permit tcp source 192.168.10.1 0 source-port gt 1024 destination-port gt 1024

rele deny ip

二、ftp的port和pasv模式的工作方式

ftp的port和pasv模式最主要區別就是資料埠連線方式不同，ftp port模式只要開啟伺服器的21和20埠，而ftp pasv需要開啟伺服器大於1024所有tcp埠和21埠。重網路安全的角度來看的話似乎ftp port模式更安全，而ftp pasv更不安全，那麼為什麼rfc要在ftp port基礎再制定乙個ftp pasv模式呢？其實rfc制定ftp pasv模式的主要目的是為了資料傳輸安全角度出發的，因為ftp port使用固定20埠進行傳輸資料，那麼作為黑客很容使用sniffer等探嗅器抓取ftp資料，這樣一來通過ftp port模式傳輸資料很容易被黑客竊取，因此使用pasv方式來架設ftp server是最安全絕佳方案。

如果作為乙個有經驗的網路管理員就會發現使用ftp pasv方式會給網路安全很大隱患，那就是ftp pasv需要開啟伺服器tcp大於1024所有埠，這樣對伺服器的安全保護是非常不利的。在此我建議兩種方法來完善ftp pasv模式的埠開放問題，第一種就是使用弱洞掃瞄工具比如xscan找出伺服器開放的埠然後使用acl把埠deny掉，另外一種方法就是使用具有狀態檢測防火牆開啟ftp pasv的埠。

在ftp pasv模式下是使用狀態檢測防火牆比acl最大的好處就是使用狀態檢測防火牆只要開啟ftp 21埠就可以了，狀態檢測防火牆會檢測客戶端口連線ftp server的21命令埠，一但檢測客戶端使用ftp 21命令埠然後就會允許這個session使用ftp伺服器大於1024埠，而其他方式是無法直接訪問ftp伺服器大於1024埠。通過狀態檢測防火牆就可以保證ftp 伺服器大於1024埠只對ftp session開放了。目前像iptable、isa server 2000/2004/2006、以及主流硬體防火牆都可以支援狀態檢測。

三、ftp的傳輸模式

ftp的傳輸有兩種方式：ascii傳輸模式和二進位制資料傳輸模式。

1．ascii傳輸方式（type a）：假定使用者正在拷貝的檔案包含的簡單ascii碼文字，如果在遠端機器上執行的不是unix，當檔案傳輸時ftp通常會自動地調整檔案的內容以便於把檔案解釋成另外那台計算機儲存文字檔案的格式。

但是常常有這樣的情況，使用者正在傳輸的檔案包含的不是文字檔案，它們可能是程式，資料庫，字處理檔案或者壓縮檔案（儘管字處理檔案包含的大部分是文字，其中也包含有指示頁尺寸，字型檔等資訊的非列印字元）。在拷貝任何非文字檔案之前，用binary 命令告訴ftp逐字拷貝，不要對這些檔案進行處理，這也是下面要講的二進位制傳輸。

2．二進位制傳輸模式（type i）：在二進位制傳輸中，儲存檔案的位序，以便原始和拷貝的是逐位一一對應的。即使目的地機器上包含位序列的檔案是沒意義的。例如，macintosh以二進位制方式傳送可執行檔案到windows系統，在對方系統上，此檔案不能執行。

如果你在ascii方式下傳輸二進位制檔案，即使不需要也仍會轉譯。這會使傳輸稍微變慢，也會損壞資料，使檔案變得不能用。（在大多數計算機上，ascii方式一般假設每一字元的第一有效位無意義，因為ascii字元組合不使用它。如果你傳輸二進位制檔案，所有的位都是重要的。）如果你知道這兩台機器是同樣的，則二進位制方式對文字檔案和資料檔案都是有效的。

ftp的port和pasv模式

FTP的port模式和pasv模式

ftp的port和pasv模式比較

ftp 主動模式（PORT）和被動模式（PASV）

ftp的port和pasv模式

FTP的port模式和pasv模式

ftp的port和pasv模式比較

ftp 主動模式（PORT）和被動模式（PASV）

相關推薦