FTP服务器原理之一：主动式连接（九）-www

沪城篱笆xiangyang01.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

www_xylove

博客访问： 686958
博文数量： 191
博客积分： 10987
博客等级：上将
技术积分： 1925
用户组：普通用户
注册时间： 2009-04-22 09:52

文章分类

全部博文（191）

老的oracle技术文（66）
ITIL（0）
shell脚本编程（3）
磁盘配额（2）
RHCE-系统管理-笔（4）
我的心情（4）
linux企业常用软（0）
Linux技术（转载（20）
linux故障积累（0）
linux故障分析与（3）
MySQL数据库（1）
linux安全（7）

LDAP轻量级目录服（1）

PAM模块系列（2）

chown基本权限（0）

linux ACL权限（1）

selinux（3）

Iptables防火墙（0）
linux网络服务（59）

NIS服务器（1）

vnc服务器（1）

sendmail邮件系统（0）

postfix邮件系统（0）

linux 日志服务器（1）

nfs应用服务器（1）

网络命令（0）

yum服务器（2）

SSH服务器（5）

Squid代理服务器（0）

Apache服务器（21）

dhcp服务器（1）

samba服务器（4）

vsftp服务器（12）

dns服务器（10）
linux专题（8）

网络分析工具（1）

安装Mplayer（1）

linux知识锦集（2）

磁盘阵列（1）

swap详解（2）

grub引导程序（0）

linux系统启动（0）

LVM逻辑卷管理（1）
linux系统管理（14）

常用命令（3）

用户和组的管理（2）

linux环境管理（3）

ext2/ext3文件系（0）

linux设备文件管（2）

linux的模块化管（0）

linux内核（0）

linux计划任务（0）

linux日志分析（0）

硬盘分区与格式化（0）

原始码和tar命令（1）

二进制文件和rpm（1）

linux系统环境（0）

linux的库文件（0）

linux模块理解（0）

linux的目录结构（0）

linux重要文件分（0）

系统启动细腻度分（2）

linux的系统架构（0）
未分配的博文（0）

文章存档

2014年（10）

2011年（11）

2010年（38）

2009年（132）

我的朋友

最近访客

推荐博文

FTP服务器原理之一：主动式连接（九）

分类：

2009-07-08 14:51:57

一、ftp主动式连接图示如下：

1、如图示：

第一步、首先是客户端随机打开＞1023端口连接到FTP服务器的21端口，同时客户端随机打开了另一个＞1023端口，处于wait状态。

第二步、随后FTP服务器发来一个“ACK“确认连接成功。

第三步、同时FTP服务器的20端口主动连接客户端处于wait状态的＞1023端口。

第四步、连接之后，客户端发来一个“ACK“确认连接成功。

2：以下实验继续分析：

第一步、环境

客户端IP：192.168.1.113 FTP服务器IP：192.168.1.112 ，用户apple

第二步、连接FTP服务器192.168.1.112

[root@www /]# ftp -d 192.168.1.112--------- -d 参数显示更多信息

Connected to 192.168.1.112.

220 (vsFTPd 2.0.5)

ftp: setsockopt: Bad file descriptor

---> AUTH GSSAPI

530 Please login with USER and PASS.

---> AUTH KERBEROS_V4

530 Please login with USER and PASS.

KERBEROS_V4 rejected as an authentication type

Name (192.168.1.112:root): apple-----------------用户apple

---> USER apple

331 Please specify the password.

Password: ----------------------------密码

---> PASS XXXX

230 Login successful.

cmds.c:276: verbose=1 debug=1 overbose=1

---> SYST

215 UNIX Type: L8

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

---> PASV --------------默认是被动模式

227 Entering Passive Mode (192,168,1,112,110,177) ###被动模式端口（后续再将，以免混淆）

---> LIST

150 Here comes the directory listing.

drwxr-xr-x 2 500 500 4096 Jun 11 22:29 Desktop

drwxrwxrwx 2 500 500 4096 Jul 05 10:23 mnt

226 Directory send OK.

ftp> passive-------------------------关闭被动模式，打开主动模式

Passive mode off-------------------被动模式已经关闭

ftp> ls

---> PORT 192,168,1,113,207,252 ---------------主动模式

200 PORT command successful. Consider using PASV.

---> LIST

150 Here comes the directory listing.

drwxr-xr-x 2 500 500 4096 Jun 11 22:29 Desktop

drwxrwxrwx 2 500 500 4096 Jul 05 10:23 mnt

226 Directory send OK.

第三步、看看被动模式下的端口状态

netstat -an |less

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address Stat

tcp 0 0 192.168.1.112:21 192.168.1.113:41379 ESTABLISHED

tcp 0 0 192.168.1.112:20 192.168.1.113:47898 TIME_WAIT

分析：客户端随机打开两个＞1024端口，即41379和47898；

服务器打连接端口是21，数据端口是20

问题：FTP的客户端并没有实际建立一个到服务器数据端口的连接，它只是简单的告诉服务器自己监听的端口号，服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说，这是从外部系统建立到内部客户端的连接，这是通常会被阻塞的。

解决：

Iptables防火墙需要添加如下理论规则：

第一条规则：允许客户机从大于1024端口连接FTP服务器21端口

第二条规则：允许服务器从21端口回应FTP客户端中大于1024端口的网络连接

第三条规则：允许FTP服务器从20端口主动连接客户端中大于1024的端口

第四条规则：允许FTP客户端从大于1024端口回应来自FTP服务器20端口的连接

*****************完***************

阅读(4125) | 评论(0) | 转发(1) |

上一篇：主动与被动FTP优缺点(八)

下一篇： Vsftpd.conf文档翻译(十)------布尔型选项和值(1)

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6