《FTP主动与被动连接的区别》由会员分享,可在线阅读,更多相关《FTP主动与被动连接的区别(4页珍藏版)》请在金锄头文库上搜索。
1、ftpCreated 星期日 20 六月 2010主动连接与被动连接的区别ftp 与大多数应用层协议不同的是, 它采用了二个端口. 控制端口 21,数据端口 20.这就导致了客户端与服务器通信的四个端口连接问题.主动连接流程为,服务器为 S,客户端为 C C 以一个随机端口 x 与 S 的 21 端口相连, 这个随机端口范围为 102465535. 并发送命令 port x+1, 指明数据端口. C(x) - S(21) S 收到该命令后, 将返回一个 ACK. S(21) - C(x) S 将用自己的 20 端口与 C 的 x+1 端口相连. S(20) - C(x+1) C 给 S 返回一
2、个 ACK. C(x+1) - S(20)对于防火墙,这时你需要开放如下规则 允许本机(102465535)范围内任意端口访问 S 的 21 端口 允许本机(102465535)范围内任意端口访问 S 的 21 端口 允许服务器 21 端口访问本机(102465535)范围内任意端口 允许服务器 20 端口访问本机(102465535)范围内任意端口我们可以按步骤具体考虑一下 C(x) - S(21), 这个没有问题, C 只要允许对外部主机 21端口访问, S 只要接受对 21 端口的访问即可 S(21) - C(x), 这个也没问题, 开启状态模块. 用其中的Related 和 Estab
3、lished 就可以实现. S(20) - C(x+1), 这个就出问题了. 这个连接是由 S 主动发起的. 状态模块不派不上用场. 对于 S 来说, 只要将output 链设为接受就可以实现. 但对于 C, 它要接受别人对它高位端口的访问, 这如何实现? 如果你开放高位端口的访问权限, 那么你的主机就很容易受到木马病毒的侵害. 你可能会设置一条针对 S 的 IP 和端口的高位端口访问权限. 如果你只访问特定的 ftp 服务器,这个当然可以.如果你是在网上浏览很多 FTP 服务器, 你就需要为每一个可能用到的 ftp 服务器设定一条规则. 这个工作量可选而知. C(x+1) - S(20),
4、这个也很容易实现.现在可以得到结论.对于服务器, 它只需要接受 20 和 21 端口的连接即可对于客户机, 它需要能访问外部 20 和 21 端口, 同时允许外部主机的 20 21 端口访问自己的高位端口.服务器易于实现,而客户机很难. 这也反应了主动连接的特点, 使得服务器易于管理.而客户端则难以管理被动连接流程为,服务器为 S,客户端为 C C 以一个随机端口 x 与 S 的 21 端口相连, 这个随机端口范围为 102465535, 并发送命令 PASV. C(x) - S(21) S 收到命令, 返回一个 ACK, 并在其中指明一个新的高位端口 y. S(21) - C(x) C 发起
5、 x+1 端口到 S 的 y 的端口的连接. C(x+1) - S(y) S 返回一个 ACK. S(y) - C(x+1)对于防火墙,这时你需要开放如下规则 允许本机(102465535)范围内任意端口访问 S 的 21 端口 允许本机(102465535)范围内任意端口访问 S 的(102465535)端口 允许服务器 21 端口访问本机(102465535)范围内任意端口 允许服务器(102465535)端口访问本机(102465535)范围内任意端口我们可以按步骤具体考虑一下 C(x) - S(21), 这个没有问题, C 只要允许对外部主机 21端口访问, S 只要接受对 21 端口
6、的访问即可 S(21) - C(x), 这个也没问题, 开启状态模块. 用其中的Related 和 Established 就可以实现. C(x+1) - S(y), 这个可能会出问题了. 对于 S 来说, 它需要开放高位端口的访问权限,同样引起不安全因素. S(y) - C(x+1), 这个同样可以用状态模块容易实现.现在可以得到结论.对于服务器, 它需要接受 21 端口和任意高位端口的连接对于客户机, 它需要能访问外部 21 端口和任意高位端口, 同时允许外部主机的 20 和任意高位端口访问自己的作意高位端口. 这可以通过状态模块实现. 客户机真正要做的就只是开启状态模块而已, 因为 Output 链一般都是设为接受的.这就体现了被动连接的特点, 客户端易于实现, 而服务器很难实现. 方便用户却麻烦了 ftp 管理员. 一个比较好的折衷是目前大部分 FTP 服务器软件都可以自行设置启用的高位端口范围,这样在防火墙设置中可以只开放少量高位端口的访问权限.
