一、ftp的port和pasv模式的工作方式
ftp使用2個tcp埠,首先是建立乙個命令埠(控制埠),然後再產生乙個資料埠。國內很多教科書都講ftp使用21命令埠和20資料埠,這個應該是教書更新太慢的原因吧。實際上ftp分為主動模式和被動模式兩種,ftp工作在主動模式使用tcp 21和20兩個埠,而工作在被動模式會工作在大於1024隨機埠。ftp最權威的參考見rfc 959,有興趣的朋友可以仔細閱讀
的文件了解ftp詳細工作模式和命令。目前主流的ftp server伺服器模式都是同時支援port和pasv兩種方式,但是為了方便管理安全管理防火牆和設定acl了解ftp server的port和pasv模式是很有必要的。
1.1 ftp port模式(主動模式)
主動方式的ftp是這樣的:客戶端從乙個任意的非特權埠n(n>1024)連線到ftp伺服器的命令埠(即tcp 21埠)。緊接著客戶端開始監聽埠n+1,並傳送ftp命令「port n+1」到ftp伺服器。最後伺服器會從它自己的資料埠(20)連線到客戶端指定的資料埠(n+1),這樣客戶端就可以和ftp伺服器建立資料傳輸通道了。ftp port模式工作流程如下圖所示:
針對ftp伺服器前面的防火牆來說,必須允許以下通訊才能支援主動方式ftp:
1、客戶端口》1024埠到ftp伺服器的21埠 (入:客戶端初始化的連線 s
2、ftp伺服器的21埠到客戶端》1024的埠(出:伺服器響應客戶端的控制埠 s->c)
3、ftp伺服器的20埠到客戶端》1024的埠(出:伺服器端初始化資料連線到客戶端的資料埠 s->c)
4、客戶端》1024埠到ftp伺服器的20埠(入:客戶端傳送ack響應到伺服器的資料埠 s
如果伺服器的ip為192.168.10.1在h3c 8500的gigabitethernet 2/1/10 上建立in acl策略允許ftp 主動模式其他禁止:
rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024
rule permit tcp source 192.168.10.1 0 source-port eq 20 destination-port gt 1024
rele deny ip
1.2 ftp pasv模式(被動模式)
在被動方式ftp中,命令連線和資料連線都由客戶端。當開啟乙個ftp連線時,客戶端開啟兩個任意的非特權本地埠(n > 1024和n+1)。第乙個埠連線伺服器的21埠,但與主動方式的ftp不同,客戶端不會提交port命令並允許伺服器來回連它的資料埠,而是提交pasv命令。這樣做的結果是伺服器會開啟乙個任意的非特權埠(p > 1024),並傳送port p命令給客戶端。然後客戶端發起從本地埠n+1到伺服器的埠p的連線用來傳送資料。ftp pasv模式工作流程如下圖所示:
對於伺服器端的防火牆來說,必須允許下面的通訊才能支援被動方式的ftp:
1、客戶端》1024埠到伺服器的21埠 (入:客戶端初始化的連線 s
2、伺服器的21埠到客戶端》1024的埠 (出:伺服器響應到客戶端的控制埠的連線 s->c)
3、客戶端》1024埠到伺服器的大於1024埠 (入:客戶端初始化資料連線到伺服器指定的任意埠 s
4、伺服器的大於1024埠到遠端的大於1024的埠(出:伺服器傳送ack響應和資料到客戶端的資料埠 s->c)
如果伺服器的ip為192.168.10.1在h3c 8500的gigabitethernet 2/1/10 上建立in acl策略允許ftp 主動模式其他禁止:
rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024
rule permit tcp source 192.168.10.1 0 source-port gt 1024 destination-port gt 1024
rele deny ip
二、ftp的port和pasv模式的工作方式
ftp的port和pasv模式最主要區別就是資料埠連線方式不同,ftp port模式只要開啟伺服器的21和20埠,而ftp pasv需要開啟伺服器大於1024所有tcp埠和21埠。重網路安全的角度來看的話似乎ftp port模式更安全,而ftp pasv更不安全,那麼為什麼rfc要在ftp port基礎再制定乙個ftp pasv模式呢?其實rfc制定ftp pasv模式的主要目的是為了資料傳輸安全角度出發的,因為ftp port使用固定20埠進行傳輸資料,那麼作為黑客很容使用sniffer等探嗅器抓取ftp資料,這樣一來通過ftp port模式傳輸資料很容易被黑客竊取,因此使用pasv方式來架設ftp server是最安全絕佳方案。
如果作為乙個有經驗的網路管理員就會發現使用ftp pasv方式會給網路安全很大隱患,那就是ftp pasv需要開啟伺服器tcp大於1024所有埠,這樣對伺服器的安全保護是非常不利的。在此我建議兩種方法來完善ftp pasv模式的埠開放問題,第一種就是使用弱洞掃瞄工具比如xscan找出伺服器開放的埠然後使用acl把埠deny掉,另外一種方法就是使用具有狀態檢測防火牆開啟ftp pasv的埠。
在ftp pasv模式下是使用狀態檢測防火牆比acl最大的好處就是使用狀態檢測防火牆只要開啟ftp 21埠就可以了,狀態檢測防火牆會檢測客戶端口連線ftp server的21命令埠,一但檢測客戶端使用ftp 21命令埠然後就會允許這個session使用ftp伺服器大於1024埠,而其他方式是無法直接訪問ftp伺服器大於1024埠。通過狀態檢測防火牆就可以保證ftp 伺服器大於1024埠只對ftp session開放了。目前像iptable、isa server 2000/2004/2006、以及主流硬體防火牆都可以支援狀態檢測。
**:
ftp的port和pasv模式
一 ftp的port和pasv模式的工作方式 ftp使用2個tcp埠,首先是建立乙個命令埠 控制埠 然後再產生乙個資料埠。國內很多教科書都講ftp使用21命令埠和20資料埠,這個應該是教書更新太慢的原因吧。實際上ftp分為主動模式和被動模式兩種,ftp工作在主動模式使用tcp 21和20兩個埠,而工...
FTP的port模式和pasv模式
ftp的port模式和pasv模式 ftp具有兩種模式,分別是port模式 也叫主動模式 和pasv模式 也叫被動模式 standard active 主動模式是指伺服器主動連線客戶端的資料埠 在主動模式下,ftp客戶端隨機開啟乙個大於1024的埠n向伺服器的21號埠發起連線,然後開放n 1號埠進行...
ftp 主動模式(PORT)和被動模式(PASV)
簡介 命令連線 當ftp客戶端需要登陸到ftp伺服器上的時候,伺服器與客戶端需要進行一系列的身份驗證過程,這個過程就叫做命令連線 當ftp客戶端需要登陸到ftp伺服器上的時候,伺服器與客戶端需要進行一系列的身份驗證過程,這個過程就叫做命令連線。如在客戶端向伺服器發起連線請 求的時候,客戶端會隨即的選...