Linux FTP的主動模式與被動模式

Linux FTP的主動模式與被動模式

一、FTP主被動模式
       FTP是文件傳輸協議的簡稱，ftp傳輸協議有着眾多的優點所以傳輸文件時使用ftp協議的軟件很多，ftp協議使用的端口是21（也稱為控制端口），其實還有一個數據端口20，根據FTP工作方式的不同，數據端口也不都是20，主動模式的被動模式使用的數據端口是不一樣的，下面我就一步一步介紹主動ftp模式和被動ftp模式的區別。

1、FTP主動模式
       主動模式的FTP工作原理：客戶端從一個任意的非特權端口N連接到FTP服務器的命令端口，也就是21端口。然后客戶端開始監聽端口N+1，並發送FTP命令“port N+1”到FTP服務器。接着服務器會從它自己的數據端口（20）連接到客戶端指定的數據端口（N+1）。
       針對FTP服務器前面的防火牆來說，必須允許以下通訊才能支持主動方式FTP：
       （1）、任何大於1024的端口到FTP服務器的21端口。（客戶端初始化的連接）
       （2）、FTP服務器的21端口到大於1024的端口。（服務器響應客戶端的控制端口）
       （3）、FTP服務器的20端口到大於1024的端口。（服務器端初始化數據連接到客戶端的數據端口）
       （4）、大於1024端口到FTP服務器的20端口（客戶端發送ACK響應到服務器的數據端口）

2、FTP被動模式
       為了解決服務器發起到客戶的連接的問題，人們開發了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知服務器它處於被動模式時才啟用。
       在被動方式FTP中，命令連接和數據連接都由客戶端發起，這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火牆過濾掉的問題。
       當開啟一個 FTP連接時，客戶端打開兩個任意的非特權本地端口（N > 1024和N+1）。第一個端口連接服務器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令並允許服務器來回連它的數據端口，而是提交 PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口（P > 1024），並發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。
       對於服務器端的防火牆來說，必須允許下面的通訊才能支持被動方式的FTP:
       （1）、從任何大於1024的端口到服務器的21端口（客戶端初始化的連接）
       （2）、服務器的21端口到任何大於1024的端口（服務器響應到客戶端的控制端口的連接）
       （3）、從任何大於1024端口到服務器的大於1024端口（客戶端初始化數據連接到服務器指定的任意端口）
       （4）、服務器的大於1024端口到遠程的大於1024的端口（服務器發送ACK響應和數據到客戶端的數據端口）

3、主動模式ftp與被動模式FTP優點和缺點：
       主動FTP對FTP服務器的管理和安全很有利，但對客戶端的管理不利。因為FTP服務器企圖與客戶端的高位隨機端口建立連接，而這個端口很有可能被客戶端的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利，但對服務器端的管理不利。因為客戶端要與服務器端建立兩個連接，其中一個連到一個高位隨機端口，而這個端口很有可能被服務器端的防火牆阻塞掉。

二、配置FTP主被動模式

1、安裝VSFTPD

yum install vsftpd -y

2、編輯配置文件

   vim vsftpd.conf

# 是否允許匿名登錄
anonymous_enable=YES
# 是否允許本地用戶登錄
local_enable=YES
# 是否允許本地用戶對FTP服務器文件具有寫權限
write_enable=YES
# 本地用戶主目錄
local_root=/var/ftp
# 匿名用戶主目錄
anon_root=/var/ftp/pub
# 是否允許匿名用戶上傳文件，如允許，須將全局的write_enable=YES
anon_upload_enable=YES
# 是否允許匿名用戶創建新文件夾
anon_mkdir_write_enable=YES
# 容許匿名用戶除了新建和上傳外的其他權限
anon_other_write_enable=YES
# 本地用戶掩碼
local_umask=022
# 設置匿名登入者新增或上傳檔案時的umask值
anon_umask=022
# 是否激活目錄歡迎信息功能
dirmessage_enable=YES
xferlog_enable=YES
# 主動模式數據傳輸20端口
connect_from_port_20=NO
xferlog_std_format=YES
# 是否監聽ipv4
listen=YES
# listen_ipv6=YES
 
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
 
# 是否設置被動模式
pasv_enable=YES
 
# 被動模式傳輸使用端口
pasv_min_port=20020
pasv_max_port=20020
 
# 被動模式返回給客戶端的ip地址(服務器內網穿透時使用)
pasv_address=0.0.0.0( 服務器外網ip )
 
# 設置用戶訪問目錄，默認只允許用戶自己的ftp目錄
# 需要同時設置allow_writeable_chroot，允許受限用戶的寫權限，不然會報錯
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
allow_writeable_chroot=YES

3、啟動vsftpd服務

systemctl start vsftpd

4、設置開機啟動vsftpd服務

   systemctl enable vsftpd

5、只想讓指定的賬戶不限制在其主目錄，其它賬戶都限制在其主目錄
    對於chroot_local_user與chroot_list_enable的組合效果，可以參考下表：

6、設置ftp目錄的權限
      因安全問題，vsftpd不允許匿名用戶在ftp主目錄上傳，可以新建一個子目錄，然后設置權限為777。

7、關於local_umask和anon_umask掩碼
      掩碼決定了上傳文件的權限, 掩碼為022代表上傳后的文件權限為666-022=644 -> rw-r--r--
      掩碼即為要去除的權限位, 默認設為022即可。

8、關閉selinux

vim /etc/selinux/config
將其中SELINUX=enforcing改為SELINUX=disabled，保存退出, 然后重啟：
reboot

參考博客:
[1]linux ftp與sftp，ftp的主動模式與被動模式
[2]Linux搭建FTP服務器-被動模式配置