主動式連線:port連線方式即客戶端通過ftp的埠(21)和ftp伺服器建立連線,形成一條鏈路,當需要有資料傳輸的時候,客戶端在鏈路上會用port開啟某個埠,並告訴ftp伺服器自己開啟的埠號,然後ftp伺服器就可用通過自己的20埠和客戶端的那個埠號進行通訊,建立連線,進行資料傳輸,防火牆的設定也比較簡單,只要控制21埠的連線就可以。
port模式ftp 客戶端首先和ftp伺服器的tcp 21埠建立連線,通過這個通道傳送命令,客戶端需要接收資料的時候在這個通道上傳送port命令。 port命令包含了客戶端用什麼埠接收資料。在傳送資料的時候,伺服器端通過自己的tcp 20埠連線至客戶端的指定埠傳送資料。 ftp server必須和客戶端建立乙個新的連線用來傳送資料。
例如: iptables -a input -p tcp -s 192.168.1.0/24 --dport 21 -j accept 就可以讓客戶端聯機了
被動式連線:pasv連線方式即客戶端通過ftp的埠號和ftp伺服器建立連線,形成一條鏈路,當需要傳輸資料的時候,伺服器會在鏈路上通過pasv命令開啟乙個埠,告訴客戶端可以通過這個埠建立連線,傳輸檔案,防火牆設定會多乙個步驟
首先需要修改ftp的配置檔案
vim /etc/vsftpd/vsftpd.conf
pasv_min_port=6000
pasv_max_port=6100
然後增加防火牆規則
iptables -a input -p tcp -s 192.168.1.0/24 --dport -j accept
iptables -a input -p tcp -s 192.168.1.0/24 --dport 6000:6100 -j accept
所以,如果你是如果通過**上網的話,就不能用主動模式,因為伺服器敲的是上網**伺服器的門,而不是敲客戶端的門而且有時候,客戶端也不是輕易就開門的,因為有防火牆阻擋,除非客戶端開放大於1024的高階埠
ftp有兩種使用模式:主動和被動。主動模式要求客戶端和伺服器端同時開啟並且監聽乙個埠以建立連線。在這種情況下,客戶端由於安裝了防火牆會產生一些問題。所以,創立了被動模式。
被動模式只要求伺服器端產生乙個監聽相應埠的程序,這樣就可以繞過客戶端安裝了防火牆的問題。
乙個主動模式的ftp連線建立要遵循以下步驟:
1.客戶端開啟乙個隨機的埠(埠號大於1024,在這裡,我們稱它為x),同時乙個ftp程序連線至伺服器的21號命令埠。此時,源埠為隨機埠x,在客戶端,遠端埠為21,在伺服器。
2.客戶端開始監聽埠(x+1),同時向伺服器傳送乙個埠命令(通過伺服器的21號命令埠),此命令告訴伺服器客戶端正在監聽的埠號並且已準備好從此埠接收資料。這個埠就是我們所知的資料埠。
3.伺服器開啟20號源埠並且建立和客戶端資料埠的連線。此時,源埠為20,遠端資料埠為(x+1)。
4.客戶端通過本地的資料埠建立乙個和伺服器20號埠的連線,然後向伺服器傳送乙個應答,告訴伺服器它已經建立好了乙個連線。
被動模式ftp:
為了解決伺服器發起到客戶的連線的問題,人們開發了一種不同的ftp連線方式。這就是所謂的被動方式,或者叫做pasv,當客戶端通知伺服器它處於被動模式時才啟用。
在被動方式ftp中,命令連線和資料連線都由客戶端發起,這樣就可以解決從伺服器到客戶端的資料埠的入方向連線被防火牆過濾掉的問題。
當開啟乙個 ftp連線時,客戶端開啟兩個任意的非特權本地埠(n > 1024和n+1)。第乙個埠連線伺服器的21埠,但與主動方式的ftp不同,客戶端不會提交port命令並允許伺服器來回連它的資料埠,而是提交 pasv命令。這樣做的結果是伺服器會開啟乙個任意的非特權埠(p > 1024),並傳送port p命令給客戶端。然後客戶端發起從本地埠n+1到伺服器的埠p的連線用來傳送資料。
對於伺服器端的防火牆來說,必須允許下面的通訊才能支援被動方式的ftp:
1. 從任何大於1024的埠到伺服器的21埠 (客戶端的初始化連線)
2.伺服器的21埠到任何大於1024的埠 (伺服器響應到客戶端的控制埠的連線)
3. 從任何大於1024埠到伺服器的大於1024埠 (客戶端初始化資料連線到伺服器指定的任意埠)
4.伺服器的大於1024埠到遠端的大於1024的埠(伺服器傳送ack響應和資料到客戶端的資料埠)
Zabbix agent的主動式和被動式
使用zabbix agent建立監控項時有兩種方式,即active 主動式 agent和passive 被動式 agent。在active agent模式下,zabbix agent啟動後,由agent端初始化和zabbix server之間的通訊,向zabbix server發出獲取監控項清單的請...
Nginx主動連線與被動連線的區別
1 主動連線是指nginx主動發起的同上游伺服器的連線 被動連線是指nginx接收到的來自客戶端主動發起的連線 2 主動連線用ngx peer connection t結構體表示 被動連線用ngx connection t表示 3 主動連線是對被動連線的封裝,每當事件消費者模組使用主動連線物件時,同...
關於被動式掃瞄的一些看法
被動式掃瞄,其實是乙個非常好的想法,可以讓安全人員躺著挖洞,但是也有很多的缺陷,比如儲存型xss,挖不動,邏輯漏洞,越權漏洞不行。這不僅僅是被動式掃瞄的缺陷,就是業內商業產品也不行。要不怎麼安全滲透工作無可替代呢。現在就來聊聊2款開源的被動式掃瞄吧。1.gourdscan 2.nagascan 安全...