|
兩權(quán)分立的FTP工作模式��,工作環(huán)境: ADSL---(219.154.214.150)NAT(10.41.221.2)-----PC(10.41.221.6/FTPSERVER)。
一、映射21端口到PC,PC安裝FTP服務(wù)serv-u��,用serv-u是因?yàn)樗梢苑奖愕脑O(shè)置FTP的兩種工作模式���。外網(wǎng)發(fā)起連接為例。 PORT方式能連接�����,不能列目錄 PASV方式能連接����,不能列目錄分析:FTP支持兩種模式。這兩種模式被稱為“標(biāo)準(zhǔn)”(或PORT�,或“主動(dòng)”)和“被動(dòng)”(或 PASV)。
“標(biāo)準(zhǔn)”模式FTP客戶端會(huì)向FTP服務(wù)器發(fā)送PORT命令����。“被動(dòng)”模式客戶端會(huì)向 FTP服務(wù)器發(fā)送PASV命令��。這些命令是在建立FTP會(huì)話時(shí)通過(guò)FTP命令通道進(jìn)行發(fā)送的�����。 2種模式FTP客戶端都要建立一個(gè)到FTP服務(wù)器上TCP端口21的連接�?蛻暨x擇大于 1024的端口發(fā)起連接,此連接會(huì)建立FTP命令通道�����。不能列目錄是因?yàn)镕TP使用不同的通道來(lái)傳遞數(shù)據(jù)����,這也是FTP不同于HTTP服務(wù)的地方,HTTP需要一條通道就可以了
二�����、再映射20端口到PC����,serv-u默認(rèn)的方式就是PORT方式��。 PORT方式能連接����、也能列目錄�、能下載文件 PASV方式能連接、不能列目錄下載文件分析:PORT方式:當(dāng)FTP客戶端需要接收數(shù)據(jù)(如文件夾列表或者文件)時(shí)����,客戶端就會(huì)通過(guò) FTP命令通道發(fā)送PORT命令。此PORT命令包含了FTP客戶端在哪個(gè)端口(比如3328)上接收數(shù)據(jù)的相關(guān)信息�����。
接下來(lái)�����,PC從TCP端口20發(fā)起到3328用戶端口的連接����,而這是一個(gè)新的連接,也許客戶端防火墻會(huì)攔截�����。可以看出是服務(wù)器用20端口“主動(dòng)”連接客戶指定的端口����,所以PORT方式也叫主動(dòng)方式。該模式下有2個(gè)特點(diǎn):
1客戶是動(dòng)態(tài)的端口�����,而服務(wù)器使用的是固定端口20����,而且是服務(wù)器發(fā)起主動(dòng)新連接�。
2在FTP客戶連接服務(wù)器的整個(gè)過(guò)程中,控制信道是一直保持連接的����,而數(shù)據(jù)傳輸通道是臨時(shí)建立的。 PASV方式不能到達(dá)是因?yàn)镻ASV要求服務(wù)器用動(dòng)態(tài)的端口來(lái)連接�����,而這個(gè)端口一般在1024-5000之間��,而且是用戶發(fā)起連接,雖然PC開(kāi)了此端口等待連接����,但是NAT并沒(méi)有映射這么多端口,所以通訊中斷���。
三�����、關(guān)閉20端口映射�,再映射10001-10004到PC�, PORT方式能連接、不能列目錄��、不能下載文件 PASV方式能連接�����、不能列目錄�����、不能下載文件 serv-u真的很帥����,在設(shè)置(高級(jí))選項(xiàng)中設(shè)置10001-10004�,然后啟動(dòng)被動(dòng)模式�����,這樣就可以建立連接了��。
分析:這個(gè)實(shí)驗(yàn)的過(guò)程和分析被微軟收錄到微軟的官方網(wǎng)站上����,不過(guò)通過(guò)我的實(shí)驗(yàn),發(fā)現(xiàn)他有個(gè)理解不全面的的地方���,原因是他直接在可以見(jiàn)面的2臺(tái)計(jì)算機(jī)上做的實(shí)驗(yàn),而我把他們用NAT分開(kāi)來(lái)做����,更能看出問(wèn)題。
問(wèn)題出在所謂的“協(xié)商過(guò)程”�,原文是這樣的: “發(fā)送PASV指令,在這個(gè)指令中�,用戶告訴服務(wù)器自己要連接服務(wù)器的某一個(gè)端口,如果這個(gè)服務(wù)器上的這個(gè)端口是空閑的可用的��,那么服務(wù)器會(huì)返回ACK的確認(rèn)信息,之后數(shù)據(jù)傳輸通道被建立并返回用戶所要的信息(根據(jù)用戶發(fā)送的指令��,如ls���、dir���、get等);如果服務(wù)器的這個(gè)端口被另一個(gè)資源所使用����,那么服務(wù)器返回UNACK的信息,那么這時(shí)����,F(xiàn)TP客戶會(huì)再次發(fā)送PASV命令,這也就是所謂的連接建立的協(xié)商過(guò)程”
其實(shí)我抓到的報(bào)文是這樣的:
1serv-u在設(shè)置PASV方式是可以指定端口����,而且端口被立即啟動(dòng)到監(jiān)聽(tīng)狀態(tài),比如我設(shè)置是10001 -10004��,可以用有關(guān)軟件“看到”這些端口已經(jīng)被置為監(jiān)聽(tīng)�����。
2當(dāng)客戶端通過(guò)該命令通道發(fā)送PASV命令時(shí),F(xiàn)TP服務(wù)器會(huì)打開(kāi)一個(gè)短暫的端口���,并通知FTP客戶端從該端口請(qǐng)求數(shù)據(jù)傳輸����,而不是協(xié)商解決�����。FTP服務(wù)器通過(guò)將該短暫端口用作�����,數(shù)據(jù)傳輸?shù)脑炊丝趤?lái)對(duì)該請(qǐng)求作出響應(yīng)�����。顯然����,這個(gè)連接是由用戶發(fā)起的�,過(guò)也叫被動(dòng)方式。
3在FTP客戶連接服務(wù)器的整個(gè)過(guò)程中��,控制信道是一直保持連接的,而數(shù)據(jù)傳輸通道是臨時(shí)建立的��。
4端口在1024-5000之間���,不要大于5000���,為什么呀,我也不知道�����,因?yàn)槲以O(shè)置5000以上就不能建立TCP連接���,實(shí)際是這樣理論我也不知道����。
我沒(méi)有用其它軟件做FTP服務(wù)器��,不能確定是否有協(xié)商過(guò)程���,如果FTP這么弱智�,那要協(xié)商到什么時(shí)候����,不如直接告訴客戶不就行了���。缺點(diǎn)是端口有限,如果多個(gè)用戶同時(shí)連接�,這幾個(gè)端口是不夠的。
四�、解決PASV問(wèn)題的辦法:不能傳數(shù)據(jù)的問(wèn)題出在:服務(wù)器向客戶端傳送了IP。當(dāng)FTP客戶端登錄進(jìn)入服務(wù)器的時(shí)候���,PASV模式服務(wù)器會(huì)向客戶端傳送本機(jī)的IP地址和數(shù)據(jù)端口�����,當(dāng)服務(wù)器放在內(nèi)網(wǎng)中的時(shí)候����,服務(wù)器會(huì)向客戶端返回內(nèi)網(wǎng)的IP���,這當(dāng)然是不能完成連接的�����,需要讓服務(wù)器返回外網(wǎng)的地址��。幸好����,還是有一個(gè)好消息�,就是serv-u本身具有返回外網(wǎng)地址這樣的功能,方法是先選中新建FTP 服務(wù)器的屬性�����,在domain標(biāo)簽里選擇“enabledynamicdns”�����,此時(shí)會(huì)出現(xiàn)第二個(gè)標(biāo)簽�����,叫 “dynamicdns”�����,然后到tz0.com申請(qǐng)動(dòng)態(tài)域名�,申請(qǐng)后會(huì)得到一個(gè)key,在此標(biāo)簽中填入此key即可�����。最后一步,是到新建服務(wù)器的settings屬性中���,選擇advanced標(biāo)簽��,選中“allowpassive modedatatransfer”�����,旁邊的IP地址框留空�����。這個(gè)框?qū)τ趽芴?hào)用戶不用填����,只有出口使用固定地址才需要填���。這樣����,serv-u向客戶端返回IP和端口前,會(huì)先向tz0.com查詢到ISA外網(wǎng)的地址�����,再發(fā)送給客戶端��。
總結(jié):采用什么方式是由用戶決定的����,而主動(dòng)和被動(dòng)之說(shuō)是相對(duì)服務(wù)器而言���。在FTP客戶連接服務(wù)器的整個(gè)過(guò)程中����,控制信道是一直保持連接的���,而數(shù)據(jù)傳輸通道是臨時(shí)建立的����。主動(dòng)方式下是服務(wù)器以20端口發(fā)起連接����,而被動(dòng)方式下服務(wù)器告訴客戶一個(gè)動(dòng)態(tài)端口,由客戶發(fā)起連接。如果你使用FTP客戶端程序是只能登錄不能傳數(shù)據(jù)��,不妨換一種工作模式�����,當(dāng)然需要服務(wù)器支持�。
關(guān)于防火墻
對(duì)外網(wǎng)用戶而言,你的防火墻如果不接受主動(dòng)連接����,麻煩大了:標(biāo)準(zhǔn)模式FTP客戶端無(wú)法在此環(huán)境中運(yùn)行,因?yàn)镕TP服務(wù)器必須向FTP客戶端發(fā)出新的連接請(qǐng)求�����。對(duì)服務(wù)器而言���,防火墻管理員可能不希望使用PASVFTP服務(wù)器���,因?yàn)镕TP服務(wù)器可以打開(kāi)任何短暫端口號(hào),如果防火墻配置允許未經(jīng)請(qǐng)求的連接完全訪問(wèn)所有的短暫端口����,則可能會(huì)是不安全的��。
小技巧�����,IE默認(rèn)使用主動(dòng)方式發(fā)起連接���,要想使用被動(dòng)方式����,需要設(shè)置 IE-工具-Internet選項(xiàng)-高級(jí)在瀏覽下面,單擊“為FTP站點(diǎn)啟用文件夾視圖”復(fù)選框����,將其清除。單擊“使用被動(dòng)FTP(為防火墻和DSL調(diào)制解調(diào)器兼容性)”復(fù)選框�,將其選中。單擊確定���。如果選中了“為FTP站點(diǎn)啟用文件夾視圖”復(fù)選框����,InternetExplorer的表現(xiàn)就會(huì)像“標(biāo)準(zhǔn)” 模式FTP客戶端一樣�,即使您還選中了“使用被動(dòng)FTP”復(fù)選框也是如此。如果您清除了“為 FTP站點(diǎn)啟用文件夾視圖”復(fù)選框,然后選中“使用被動(dòng)FTP”復(fù)選框�,InternetExplorer的表現(xiàn)就會(huì)像“被動(dòng)”模式FTP客戶端一樣啦。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
