主動FTP與被動FTP
開場白
處理防火墻和其他網(wǎng)絡(luò)連接問題時最常見的一個難題是主動FTP與被動FTP的區(qū)別以及如何完美地支持它們。幸運地是,本文能夠幫助你清除在防火墻環(huán)境中如何支持FTP這個問題上的一些混亂。
本文也許不像題目聲稱的那樣是一個權(quán)威解釋,但我已經(jīng)聽到了很多好的反饋意見,也看到了本文在許多地方被引用,知道了很多人都認為它很有用。雖然我一直在找尋改進的方法,但如果你發(fā)現(xiàn)某個地方講的不夠清楚,需要更多的解釋,請告訴我!最近的修改是增加了主動FTP和被動FTP會話中命令的例子。這些會話的例子應(yīng)該對更好地理解問題有所幫助。例子中還提供了非常棒的圖例來解釋FTP會話過程的步驟。現(xiàn)在,正題開始了...
基礎(chǔ)
FTP是僅基于TCP的服務(wù),不支持UDP。 與眾不同的是FTP使用2個端口,一個數(shù)據(jù)端口和一個命令端口(也可叫做控制端口)。通常來說這兩個端口是21-命令端口和20-數(shù)據(jù)端口。但當我們發(fā)現(xiàn)根據(jù)(FTP工作)方式的不同數(shù)據(jù)端口并不總是20時,混亂產(chǎn)生了。
主動FTP
主動方式的FTP是這樣的:客戶端從一個任意的非特權(quán)端口N(N>;1024)連接到FTP服務(wù)器的命令端口,也就是21端口。然后客戶端開始監(jiān)聽端口N+1,并發(fā)送FTP命令“port N+1”到FTP服務(wù)器。接著服務(wù)器會從它自己的數(shù)據(jù)端口(20)連接到客戶端指定的數(shù)據(jù)端口(N+1)。
針對FTP服務(wù)器前面的防火墻來說,必須允許以下通訊才能支持主動方式FTP:
任何端口到FTP服務(wù)器的21端口 (客戶端初始化的連接 S<-C)
FTP服務(wù)器的21端口到大于1024的端口(服務(wù)器響應(yīng)客戶端的控制端口 S->C)
FTP服務(wù)器的20端口到大于1024的端口(服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口 S->C)
大于1024端口到FTP服務(wù)器的20端口(客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口 S<-C)
畫出來的話,連接過程大概是下圖的樣子:
在第1步中,客戶端的命令端口與FTP服務(wù)器的命令端口建立連接,并發(fā)送命令“PORT 1027”。然后在第2步中,FTP服務(wù)器給客戶端的命令端口返回一個"ACK"。在第3步中,FTP服務(wù)器發(fā)起一個從它自己的數(shù)據(jù)端口(20)到客戶端先前指定的數(shù)據(jù)端口(1027)的連接,最后客戶端在第4步中給服務(wù)器端返回一個"ACK"。
主動方式FTP的主要問題實際上在于客戶端。FTP的客戶端并沒有實際建立一個到服務(wù)器數(shù)據(jù)端口的連接,它只是簡單的告訴服務(wù)器自己監(jiān)聽的端口號,服務(wù)器再回來連接客戶端這個指定的端口。對于客戶端的防火墻來說,這是從外部系統(tǒng)建立到內(nèi)部客戶端的連接,這是通常會被阻塞的。
主動FTP的例子
下面是一個主動FTP會話的實際例子。當然服務(wù)器名、IP地址和用戶名都做了改動。在這個例子中,FTP會話從 testbox1.slacksite.com (192.168.150.80),一個運行標準的FTP命令行客戶端的Linux工作站,發(fā)起到testbox2.slacksite.com (192.168.150.90),一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息,顯示的是發(fā)送到服務(wù)器的實際FTP命令和所產(chǎn)生的回應(yīng)信息。服務(wù)器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。
仔細考慮這個對話過程我們會發(fā)現(xiàn)一些有趣的事情。我們可以看到當 PORT 命令被提交時,它指定了客戶端(192.168.150.80)上的一個端口而不是服務(wù)器的。當我們用被動FTP時我們會看到相反的現(xiàn)象。我們再來關(guān)注PORT命令的格式。就象你在下面的例子看到的一樣,它是一個由六個被逗號隔開的數(shù)字組成的序列。前四個表示IP地址,后兩個組成了用于數(shù)據(jù)連接的端口號。用第五個數(shù)乘以256再加上第六個數(shù)就得到了實際的端口號。下面例子中端口號就是( (14*256) + 17 = 3762。我們可以用netstat來驗證這個端口信息。
testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
---> USER slacker
331 Password required for slacker.
Password: TmpPass
---> PASS XXXX
230 User slacker logged in.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
ftp: setsockopt (ignored): Permission denied
---> PORT 192,168,150,80,14,178
200 PORT command successful.
---> LIST
150 Opening ASCII mode data connection for file list.
drwx------ 3 slacker users 104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> quit
---> QUIT
221 Goodbye.
被動FTP
為了解決服務(wù)器發(fā)起到客戶的連接的問題,人們開發(fā)了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當客戶端通知服務(wù)器它處于被動模式時才啟用。
在被動方式FTP中,命令連接和數(shù)據(jù)連接都由客戶端,這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時,客戶端打開兩個任意的非特權(quán)本地端口(N >; 1024和N+1)。第一個端口連接服務(wù)器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令并允許服務(wù)器來回連它的數(shù)據(jù)端口,而是提交PASV命令。這樣做的結(jié)果是服務(wù)器會開啟一個任意的非特權(quán)端口(P >; 1024),并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來傳送數(shù)據(jù)。
對于服務(wù)器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:
從任何端口到服務(wù)器的21端口 (客戶端初始化的連接 S<-C)
服務(wù)器的21端口到任何大于1024的端口 (服務(wù)器響應(yīng)到客戶端的控制端口的連接 S->C)
從任何端口到服務(wù)器的大于1024端口 (入;客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口 S<-C)
服務(wù)器的大于1024端口到遠程的大于1024的端口(出;服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口 S->C)
畫出來的話,被動方式的FTP連接過程大概是下圖的樣子:
在第1步中,客戶端的命令端口與服務(wù)器的命令端口建立連接,并發(fā)送命令“PASV”。然后在第2步中,服務(wù)器返回命令"ORT 2024",告訴客戶端(服務(wù)器)用哪個端口偵聽數(shù)據(jù)連接。在第3步中,客戶端初始化一個從自己的數(shù)據(jù)端口到服務(wù)器端指定的數(shù)據(jù)端口的數(shù)據(jù)連接。最后服務(wù)器在第4 步中給客戶端的數(shù)據(jù)端口返回一個"ACK"響應(yīng)。
被動方式的FTP解決了客戶端的許多問題,但同時給服務(wù)器端帶來了更多的問題。最大的問題是需要允許從任意遠程終端到服務(wù)器高位端口的連接。幸運的是,許多FTP守護程序,包括流行的WU-FTPD允許管理員指定FTP服務(wù)器使用的端口范圍。詳細內(nèi)容參看附錄1。
第二個問題是客戶端有的支持被動模式,有的不支持被動模式,必須考慮如何能支持這些客戶端,以及為他們提供解決辦法。例如,Solaris提供的FTP命令行工具就不支持被動模式,需要第三方的FTP客戶端,比如ncftp。
隨著WWW的廣泛流行,許多人習慣用web瀏覽器作為FTP客戶端。大多數(shù)瀏覽器只在訪問ftp://這樣的URL時才支持被動模式。這到底是好還是壞取決于服務(wù)器和防火墻的配置。
被動FTP的例子
下面是一個被動FTP會話的實際例子,只是服務(wù)器名、IP地址和用戶名都做了改動。在這個例子中,FTP會話從 testbox1.slacksite.com (192.168.150.80),一個運行標準的FTP命令行客戶端的Linux工作站,發(fā)起到testbox2.slacksite.com (192.168.150.90),一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息,顯示的是發(fā)送到服務(wù)器的實際FTP命令和所產(chǎn)生的回應(yīng)信息。服務(wù)器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。
注意此例中的PORT命令與主動FTP例子的不同。這里,我們看到是服務(wù)器(192.168.150.90)而不是客戶端的一個端口被打開了。可以跟上面的主動FTP例子中的PORT命令格式對比一下。
testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
---> USER slacker
331 Password required for slacker.
Password: TmpPass
---> PASS XXXX
230 User slacker logged in.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive
Passive mode on.
ftp> ls
ftp: setsockopt (ignored): Permission denied
---> PASV
227 Entering Passive Mode (192,168,150,90,195,149).
---> LIST
150 Opening ASCII mode data connection for file list
drwx------ 3 slacker users 104 Jul 27 01:45 public_html
226 Transfer complete.
ftp>; quit
---> QUIT
221 Goodbye.
總結(jié)
下面的圖表會幫助管理員們記住每種FTP方式是怎樣工作的:
主動FTP:
命令連接:客戶端 >1024端口 -> 服務(wù)器 21端口
數(shù)據(jù)連接:客戶端 >1024端口 <- 服務(wù)器 20端口
被動FTP:
命令連接:客戶端 >1024端口 -> 服務(wù)器 21端口
數(shù)據(jù)連接:客戶端 >1024端口 -> 服務(wù)器 >;1024端口
下面是主動與被動FTP優(yōu)缺點的簡要總結(jié):
主動FTP對FTP服務(wù)器的管理有利,但對客戶端的管理不利。因為FTP服務(wù)器企圖與客戶端的高位隨機端口建立連接,而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利,但對服務(wù)器端的管理不利。因為客戶端要與服務(wù)器端建立兩個連接,其中一個連到一個高位隨機端口,而這個端口很有可能被服務(wù)器端的防火墻阻塞掉。
幸運的是,有折衷的辦法。既然FTP服務(wù)器的管理員需要他們的服務(wù)器有最多的客戶連接,那么必須得支持被動FTP。我們可以通過為FTP服務(wù)器指定一個有限的端口范圍來減小服務(wù)器高位端口的暴露。這樣,不在這個范圍的任何端口會被服務(wù)器的防火墻阻塞。雖然這沒有消除所有針對服務(wù)器的危險,但它大大減少了危險。詳細信息參看附錄1。
參考資料
O'Reilly出版的《組建Internet防火墻》(第二版,Brent Chapman,Elizabeth Zwicky著)是一本很不錯的參考資料。里面講述了各種Internet協(xié)議如何工作,以及有關(guān)防火墻的例子。
最權(quán)威的FTP參考資料是RFC 959,它是FTP協(xié)議的官方規(guī)范。RFC的資料可以從許多網(wǎng)站上下載,例如:ftp://nic.merit.edu/documents/rfc/rfc0959.txt 。
Active FTP vs. Passive FTP, Appendix 1
from: http://slacksite.com/other/ftp.html(英文原版)
http://www.hyxssq.cn/thread-171-1-1.html(中文翻譯)
(轉(zhuǎn)自http://www.cnblogs.com/zhuowei/archive/2009/04/08/1432039.html)