pasv_enable=YES
pasv_min_port=3000
pasv_max_port=4000 同时修改/etc/sysconfig/iptables打开端口3000到4000,具体可查阅相关资料。
为何被动模式需要设置最小、最大端口呢?
这就需要了解一下主动模式与被动模式FTP服务的机制:
FTP是基于TCP协议的,而不是基于UDP的,FTP与其他协议不同,使用两个控制命令(command port)与数据(data port)两个端口。
通常使用21作为命令端口,20作为数据端口。
一、主动模式
1、客户端随机从一大于1023的端口(比如1030)基于FTP协议向服务器端的21端口发起连接。
2、服务器端从21端口向客户端确认连接
3、服务器端从20数据端口主动连接客户端的1031(1030+1)端口
4、客户端从1031端口向20端口确认连接
这样形成了控制命令与数据传输两条连接,21-1030 20-1031
但是主动模式有一个要注意的地方就是,由于服务器端会主动向客户端发出连接请求,在客户端防火墙处可能会认为此为网络入侵,若不放开规则,可能会被客户端拒绝。
二、被动模式
1、客户端随机从一大于1023的端口(比如1030)基于FTP协议向服务器端的21端口发起连接。
2、服务器端从21端口向客户端确认连接,
3、客户端通过控制命令通道高速服务器端应该在哪一个端口(>1023)监听数据连接,比如2000。
4、客户端从1031端口向约定的2000端口发起连接,建立数据传输通道。
5、服务器端从2000向客户端1031端口确认连接。
这样形成了控制命令与数据传输两条连接,21-1030 2000-1031
但是被动模式有一个要注意的地方就是,服务器端被动在>1023的约定端口监听来自客户端的连接请求,故应该在服务器端防火墙侧打开此端口。
三、总结 Active FTP : command : client >1023 -> server 21 data : client >1023 1023 -> server 21 data : client >1023 -> server >1023
主动模式对服务器端有利,被动模式对客户端有利。但是服务器端既然要提供FTP服务,应该在服务器端设置防火墙规则,提供被动模式服务,而不能要求所有的客户端都设置防火墙规则以适应主动服务模式。当然服务器端在提供被动模式服务时,出于安全考虑,应该设置客户端可发起数据连接的端口范围,这就是上面配置文件中的
pasv_min_port=3000
pasv_max_port=4000
即告诉客户端可以向3000与4000之间的端口发起数据连接。
摘取国外网站上的一段英文如下:
Active FTP is beneficial to the FTP server admin, but detrimental to the client side admin. The FTP server attempts to make connections to random high ports on the client, which would almost certainly be blocked by a firewall on the client side. Passive FTP is beneficial to the client, but detrimental to the FTP server admin. The client will make both connections to the server, but one of them will be to a random high port, which would almost certainly be blocked by a firewall on the server side.
QQ群⑧:
窥视卡
雷达卡
发表于 2015-5-27 07:26:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡