[Miles' Blog]

FTP server: the Passive & Port Mode|FTP的主动模式与被动模式 [Permalink]

Mon Dec 25 17:58:34 CST 2006
Category [development. ~]

ftp服务分主动(PORT)与被动模式(PASV)两种模式。其主要区别是由服务器端还是客户端开启动态端口。前两天刚刚了解过这方面的相关知识，但是没有想到这么快就用上了。

今天去机房给服务器那边配置了防火墙，总体来说算比较顺利，前后2个多小时就搞完收工，中间的网络中断也只有10s左右。最后测试了各项服务，就卡在ftp这里了。

服务器防火墙关闭的情况下：客户端直连网络，则port/pasv都可以正常访问，而客户端通过内网上网，只有pasv可以正常访问；
服务器防火墙开启，仅允许21端口的情况下：客户端直连网络，则port可以正常访问，而客户端通过内网上网，两种模式都无法访问。

又回过头研究了一下ftp的协议规范，确认了主动模式需要客户端开一个>1024的随机端口用于数据传输；而被动模式需要服务器端开启一个>1024的随机端口用于数据传输。而在办公环境下，两端都有防火墙，所以就出现了上述的问题。解决办法有两个：
1.客户端机器设置为DMZ，允许所有连接进入。这样一来，客户端可以任意开端口，主动模式自然也就不在话下；
2.服务器端关闭防火墙。如果这样的话服务器端可以开任意端口，被动模式就没有问题了。

可是如果采用方案一，则对客户端限制太多，对于需要多人、多点维护的服务器环境来说不现实；而如果采用方案二，防火墙岂不是摆设？又baidugoo了一轮，终于找到了折中方案：原来serv-u等ftp server是可以设置pasv模式下使用的端口范围的。这样一来，可以设定一个比较小的范围，然后在防火墙上开一个小口，问题就算解决了。可是为什么ftp协议非要这么BT呢？费解。。。