很多服務器上都搭建的有FTP服務,FTP服務有兩種連接模式:主動模式和被動模式。關於這兩種模式的介紹,請參考這篇文章:重溫FTP的主動模式和被動模式
關於這兩種模式的比較,原文有這樣的描述:
主動模式和被動模式的不同簡單概述為: 主動模式傳送數據時是“服務器”連接到“客戶端”的端口;被動模式傳送數據是“客戶端”連接到“服務器”的端口。
主動模式需要客戶端必須開放端口給服務器,很多客戶端都是在防火牆內,開放端口給FTP服務器訪問比較困難。
被動模式只需要服務器端開放端口給客戶端連接就行了。
在網上很多文章都提到,要用被動模式連接,服務器要開放隨機端口,但很多時候,為了安全,服務器並不允許開放隨機端口,那我們能否只開放有限的端口呢?
再來看看被動模式的原理圖:
我們可以看到,服務器開放哪個端口是在第4和第5步產生的,所以這里只要使服務器開放固定(或有限)的端口就可以了。
我是用vsftpd搭建的服務器,在vsftpd的配置中開放被動連接的配置是這樣的:
打開xxx/vsftpd/vsftpd.conf,在末尾添加:
pasv_enable=YES //開啟PASV模式 pasv_min_port=40000 //最小端口號 pasv_max_port=40000 //最大端口號 pasv_promiscuous=YES
這里只要把最小端口號和最大端口號配置成一樣的,就成了開放固定端口了(還要開放iptables)。