php网站怎么做seo,江苏省教育现代化建设水平监测网站,澄江网站制作,广告设计与制作专业比较好的大学转自 http://www.phpweblog.net/killjin/archive/2008/01/06/2653.htmlftp中主动模式(port)与被动模式(PASV)目录 开场白 基础 主动FTP 主动FTP的例子 被动FTP 被动FTP的例子 总结 参考资料 附录 1: 配置常见FTP服务器 开场白 处理防火墙和其他网络连接问题时最常见的…转自 http://www.phpweblog.net/killjin/archive/2008/01/06/2653.html ftp中主动模式(port)与被动模式(PASV) 目录 开场白 基础 主动FTP 主动FTP的例子 被动FTP 被动FTP的例子 总结 参考资料 附录 1: 配置常见FTP服务器 开场白 处理防火墙和其他网络连接问题时最常见的一个难题是主动FTP与被动FTP的区别以及如何完美地支持它们。幸运地是本文能够帮助你清除在防火墙环境中如何支持FTP这个问题上的一些混乱。 本文也许不像题目声称的那样是一个权威解释但我已经听到了很多好的反馈意见也看到了本文在许多地方被引用知道了很多人都认为它很有用。虽然我一直在找寻改进的方法但如果你发现某个地方讲的不够清楚需要更多的解释请告诉我最近的修改是增加了主动FTP和被动FTP会话中命令的例子。这些会话的例子应该对更好地理解问题有所帮助。例子中还提供了非常棒的图例来解释FTP会话过程的步骤。现在正题开始了... 基础 FTP是仅基于TCP的服务不支持UDP。 与众不同的是FTP使用2个端口一个数据端口和一个命令端口也可叫做控制端口。通常来说这两个端口是21命令端口和20数据端口。但当我们发现根据FTP工作方式的不同数据端口并不总是20时混乱产生了。 主动FTP 主动方式的FTP是这样的客户端从一个任意的非特权端口NN;1024连接到FTP服务器的命令端口也就是21端口。然后客户端开始监听端口N1并发送FTP命令“port N1”到FTP服务器。接着服务器会从它自己的数据端口20连接到客户端指定的数据端口N1。 针对FTP服务器前面的防火墙来说必须允许以下通讯才能支持主动方式FTP 任何端口到FTP服务器的21端口 客户端初始化的连接 S-C FTP服务器的21端口到大于1023的端口服务器响应客户端的控制端口 S-C FTP服务器的20端口到大于1023的端口服务器端初始化数据连接到客户端的数据端口 S-C 大于1023端口到FTP服务器的20端口客户端发送ACK响应到服务器的数据端口 S-C 画出来的话连接过程大概是下图的样子 在第1步中客户端的命令端口与FTP服务器的命令端口建立连接并发送命令“PORT 1027”。然后在第2步中FTP服务器给客户端的命令端口返回一个ACK。在第3步中FTP服务器发起一个从它自己的数据端口20到客户端先前指定的数据端口1027的连接最后客户端在第4步中给服务器端返回一个ACK。 主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接它只是简单的告诉服务器自己监听的端口号服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说这是从外部系统建立到内部客户端的连接这是通常会被阻塞的。 主动FTP的例子 下面是一个主动FTP会话的实际例子。当然服务器名、IP地址和用户名都做了改动。在这个例子中FTP会话从 testbox1.slacksite.com (192.168.150.80)一个运行标准的FTP命令行客户端的Linux工作站发起到testbox2.slacksite.com (192.168.150.90)一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging-d选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示用户的输入信息用粗体字表示。 仔细考虑这个对话过程我们会发现一些有趣的事情。我们可以看到当 PORT 命令被提交时它指定了客户端(192.168.150.80)上的一个端口而不是服务器的。当我们用被动FTP时我们会看到相反的现象。我们再来关注PORT命令的格式。就象你在下面的例子看到的一样它是一个由六个被逗号隔开的数字组成的序列。前四个表示IP地址后两个组成了用于数据连接的端口号。用第五个数乘以256再加上第六个数就得到了实际的端口号。下面例子中端口号就是( (14*256) 178) 3762。我们可以用netstat来验证这个端口信息。 testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 Connected to testbox2.slacksite.com. 220 testbox2.slacksite.com FTP server ready. Name (testbox2:slacker): slacker --- USER slacker 331 Password required for slacker. Password: TmpPass --- PASS XXXX 230 User slacker logged in. --- SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp ls ftp: setsockopt (ignored): Permission denied --- PORT 192,168,150,80,14,178 200 PORT command successful. --- LIST 150 Opening ASCII mode data connection for file list. drwx------ 3 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp quit --- QUIT 221 Goodbye. 被动FTP 为了解决服务器发起到客户的连接的问题人们开发了一种不同的FTP连接方式。这就是所谓的被动方式或者叫做PASV当客户端通知服务器它处于被动模式时才启用。 在被动方式FTP中命令连接和数据连接都由客户端这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时客户端打开两个任意的非特权本地端口N ; 1024和N1。第一个端口连接服务器的21端口但与主动方式的FTP不同客户端不会提交PORT命令并允许服务器来回连它的数据端口而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口P ; 1024并发送PORT P命令给客户端。然后客户端发起从本地端口N1到服务器的端口P的连接用来传送数据。 对于服务器端的防火墙来说必须允许下面的通讯才能支持被动方式的FTP: 从任何端口到服务器的21端口 客户端初始化的连接 S-C 服务器的21端口到任何大于1023的端口 服务器响应到客户端的控制端口的连接 S-C 从任何端口到服务器的大于1023端口 入客户端初始化数据连接到服务器指定的任意端口 S-C 服务器的大于1023端口到远程的大于1023的端口出服务器发送ACK响应和数据到客户端的数据端口 S-C 画出来的话被动方式的FTP连接过程大概是下图的样子 在第1步中客户端的命令端口与服务器的命令端口建立连接并发送命令“PASV”。然后在第2步中服务器返回命令PORT 2024告诉客户端服务器用哪个端口侦听数据连接。在第3步中客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个ACK响应。 被动方式的FTP解决了客户端的许多问题但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是许多FTP守护程序包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。 第二个问题是客户端有的支持被动模式有的不支持被动模式必须考虑如何能支持这些客户端以及为他们提供解决办法。例如Solaris提供的FTP命令行工具就不支持被动模式需要第三方的FTP客户端比如ncftp。 随着WWW的广泛流行许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这到底是好还是坏取决于服务器和防火墙的配置。 被动FTP的例子 下面是一个被动FTP会话的实际例子只是服务器名、IP地址和用户名都做了改动。在这个例子中FTP会话从 testbox1.slacksite.com (192.168.150.80)一个运行标准的FTP命令行客户端的Linux工作站发起到testbox2.slacksite.com (192.168.150.90)一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging-d选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示用户的输入信息用粗体字表示。 注意此例中的PORT命令与主动FTP例子的不同。这里我们看到是服务器(192.168.150.90)而不是客户端的一个端口被打开了。可以跟上面的主动FTP例子中的PORT命令格式对比一下。 testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 Connected to testbox2.slacksite.com. 220 testbox2.slacksite.com FTP server ready. Name (testbox2:slacker): slacker --- USER slacker 331 Password required for slacker. Password: TmpPass --- PASS XXXX 230 User slacker logged in. --- SYST 215 UNIX Type: L8 Remote system type is UNIX. Using binary mode to transfer files. ftp passive Passive mode on. ftp ls ftp: setsockopt (ignored): Permission denied --- PASV 227 Entering Passive Mode (192,168,150,90,195,149). --- LIST 150 Opening ASCII mode data connection for file list drwx------ 3 slacker users 104 Jul 27 01:45 public_html 226 Transfer complete. ftp; quit --- QUIT 221 Goodbye. 总结 下面的图表会帮助管理员们记住每种FTP方式是怎样工作的 主动FTP 命令连接客户端 1023端口 - 服务器 21端口 数据连接客户端 1023端口 - 服务器 20端口 被动FTP 命令连接客户端 1023端口 - 服务器 21端口 数据连接客户端 1023端口 - 服务器 1023端口 下面是主动与被动FTP优缺点的简要总结 主动FTP对FTP服务器的管理有利但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利但对服务器端的管理不利。因为客户端要与服务器端建立两个连接其中一个连到一个高位随机端口而这个端口很有可能被服务器端的防火墙阻塞掉。 幸运的是有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险但它大大减少了危险。详细信息参看附录1。 转载于:https://www.cnblogs.com/wuyun-blog/p/8184041.html
