Chế độ hoạt động và thụ động của Ftp. Chế độ thụ động Ftp có cổng nào. Làm thế nào để kích hoạt chế độ thụ động? Thay đổi chế độ máy khách FTP trong Internet Explorer. Ví dụ về kết nối đang hoạt động

FTP (Giao thức truyền tệp) là một trong những giao thức truyền dữ liệu cổ xưa nhất. Nó được tạo ra trước HTTP hơn 40 năm trước. Tuy nhiên, công nghệ “máy khách-máy chủ FTP” và “máy chủ-máy chủ” dễ sử dụng và không cần bảo trì đặc biệt, vẫn đóng vai trò là phương tiện đáng tin cậy để hệ thống hóa luồng tài liệu nội bộ, tạo kho lưu trữ nhiều người dùng trong mạng công ty địa phương và phân phối miễn phí. phần mềm, đa phương tiện, tài liệu và tài liệu trên World Wide Web.

Máy chủ FTP có thể được triển khai trên bất kỳ thiết bị mạng nào có mảng đĩađể lưu trữ một lượng lớn thông tin hoặc máy tính thông thường. Khi kết nối với máy chủ, các lệnh điều khiển sẽ được trao đổi, trong quá trình ủy quyền diễn ra (nếu được cung cấp), các cổng được chỉ định, quy tắc trao đổi được xác định và sau đó kết nối được thiết lập để truyền dữ liệu. Hãy để nó sang một bên cơ sở lý thuyết tương tác giữa máy chủ và máy tính cục bộ thông qua giao thức FTP. Quá trình này được thực hiện theo một trong hai chế độ: chủ động và thụ động. Sự khác biệt của họ là gì? Ở chế độ hoạt động, máy khách gửi yêu cầu kết nối đến máy chủ và máy chủ thực hiện kết nối. Ở chế độ thụ động, cả lệnh điều khiển và kết nối dữ liệu đều chỉ được khởi tạo bởi máy khách.

Chế độ thụ động là cần thiết trong trường hợp máy tính của khách hàng được đặt trong mạng cục bộ an toàn. Hầu hết các trình duyệt đều hỗ trợ giao thức FTP và cho phép bạn kết nối, xem và sao chép dữ liệu từ các máy chủ từ xa. Vì vậy, trong Internet Explorer bạn có thể, bằng cách chỉ định trong thanh địa chỉ ftp:// “Địa chỉ IP máy chủ” hoặc sử dụng FileSearch để tìm liên kết đến các kho lưu trữ tệp phổ biến nhất. Trên tab / “Tùy chọn Internet / Nâng cao” / bạn có thể kích hoạt sử dụng chế độ FTP thụ động.

Không cần cài đặt đặc biệt trong trình duyệt Mozilla Firefox. “Total Comander” và “Far” có ứng dụng khách FTP tích hợp. Tại đây, khi tạo kết nối mới, bạn phải chỉ định thêm thông tin đăng nhập và mật khẩu. ĐẾN mở máy chủ Thông tin đăng nhập mặc định là “ẩn danh” và mật khẩu là địa chỉ hộp thư của bạn.

Tất cả các “ghế bập bênh” được biết đến từ FlashGet (chế độ thụ động theo mặc định) đến ReGet Deluxe (chế độ hoạt động theo mặc định) đều có một hệ thống Tự động phát hiện các kịch bản kết nối và tải xuống, đồng thời cũng được trang bị nhiều bộ tăng tốc bổ sung để tăng tốc quá trình tải xuống. Bạn thường có thể bật hoặc tắt chế độ thụ động khi tạo kết nối mới trên tab FTP.

Đối với những máy khách làm việc ở chế độ chia sẻ tệp liên tục hoặc khá thường xuyên, cần phải cài đặt trình quản lý FTP. Đây là một chương trình thuộc các dòng FileZilla, CuteFTP, SmartFTP, FTP Voyager, v.v. , cũng có thể được tìm thấy trong truy cập mở trên mạng. Các chương trình này giúp bạn có thể tinh chỉnh kết nối với máy chủ từ xa FTP. Chúng không thể thiếu trong trường hợp làm việc với các máy chủ chỉ hoạt động ở “chế độ hoạt động”, vì ngay cả khi máy khách không có địa chỉ IP tĩnh, chương trình vẫn có thể mô phỏng địa chỉ đó trong suốt phiên.

Trong số những người dùng nói tiếng Nga, phổ biến nhất chương trình miễn phí mã nguồn mở – FileZilla. Chương trình này rất dễ cài đặt và có giao diện tiếng Nga rõ ràng. Bạn có thể sử dụng một số tùy chọn để cấu hình kết nối. Cài đặt chung - Menu/Chỉnh sửa/Cài đặt/. được tạo ở dạng cây và ảnh hưởng đến cài đặt của tất cả mô-đun có sẵn. Trong cùng một phần của menu, bạn có thể chuyển sang trình hướng dẫn tạo kết nối, nơi các thông số kết nối sẽ được cung cấp từng bước khi chọn chế độ chủ động hoặc thụ động. Một số Máy chủ ftp Chúng tôi đề nghị tải xuống các tệp tập lệnh kết nối nhỏ có thể được nhập vào chương trình và tạo kết nối vĩnh viễn sẵn sàng.

Và cuối cùng, trong số lệnh điều khiển Hệ điều hành Windows hỗ trợ lệnh ftp.exe, lệnh này cung cấp khả năng kết nối “thủ công” với máy chủ FTP bằng cách nhập lệnh console (giao thức hỗ trợ 25 lệnh). Cú pháp sử dụng và nhập của các lệnh này phải được biết rõ và hiểu rõ, nhưng nó sẽ đòi hỏi những kỹ năng và kinh nghiệm lập trình nhất định.

24.06.2018

Từ viết tắt FTPđến từ tiếng Anh F ile T chuyển khoản P rotocol (giao thức truyền tập tin) - giao thức cấp độ ứng dụngđể chia sẻ tập tin qua giao thức vận chuyển TCP/IP giữa hai máy tính, máy khách FTP và máy chủ FTP. Đây là một trong những giao thức lâu đời nhất nhưng vẫn được sử dụng tích cực.

Giao thức FTP được thiết kế để giải quyết các vấn đề sau:

truy cập tập tin và thư mục trên máy chủ từ xa

đảm bảo tính độc lập của máy khách với loại hệ thống tệp của máy tính từ xa

truyền dữ liệu đáng tin cậy

sử dụng tài nguyên hệ thống từ xa.

Giao thức FTP hỗ trợ hai kênh kết nối cùng một lúc - một để truyền đội và kết quả thực hiện, còn lại là để chia sẻ dữ liệu. Tại cài đặt tiêu chuẩn Máy chủ FTP sử dụng cổng TCP 21 để tổ chức kênh gửi và nhận lệnh và cổng TCP 20 để tổ chức kênh nhận/truyền dữ liệu.

Máy chủ FTP chờ kết nối từ máy khách FTP trên cổng TCP 21 và sau khi thiết lập kết nối, sẽ chấp nhận và xử lý Lệnh FTP, đại diện cho bình thường chuỗi văn bản. Các lệnh xác định các tham số kết nối, loại dữ liệu được truyền và các hành động liên quan đến tệp và thư mục. Sau khi đồng ý về các tham số truyền, một trong những người tham gia trao đổi sẽ chuyển sang chế độ thụ động, chờ kết nối đến cho kênh trao đổi dữ liệu và người thứ hai thiết lập kết nối với cổng này và bắt đầu truyền. Sau khi quá trình truyền hoàn tất, kết nối dữ liệu sẽ bị đóng nhưng kết nối điều khiển vẫn mở, cho phép bạn tiếp tục phiên FTP và tạo phiên truyền dữ liệu mới.

Có thể hoạt động ở chế độ chủ động hoặc thụ động, xác định cách thiết lập kết nối dữ liệu. Vì vậy, thường không có vấn đề gì khi mở kết nối điều khiển. Ở chế độ hoạt động, máy khách bắt đầu lắng nghe trên một cổng ngẫu nhiên các kết nối dữ liệu đến từ máy chủ.

Vì lý do này, chế độ thụ động đã được giới thiệu và được sử dụng chủ yếu ngày nay. Nên sử dụng chế độ thụ động vì hầu hết cấu hình phức tạp chỉ được thực hiện một lần ở phía máy chủ, bởi quản trị viên có kinh nghiệm, thay vì thực hiện riêng lẻ ở phía máy khách, bởi những người dùng thiếu kinh nghiệm.

Giao thức FTP có thể được sử dụng không chỉ để truyền dữ liệu giữa máy khách và máy chủ mà còn giữa hai máy chủ. TRONG trong trường hợp này, máy khách FTP sẽ thiết lập kết nối điều khiển với cả hai máy chủ FTP, chuyển một trong số chúng sang chế độ thụ động và máy khách thứ hai sang chế độ hoạt động, tạo kênh truyền dữ liệu giữa chúng.

Máy khách FTP là chương trình kết nối với máy chủ FTP và thực hiện các thao tác cần thiết để xem nội dung của các thư mục của máy chủ cũng như nhận, truyền và xóa các tệp hoặc thư mục. Một chương trình như vậy có thể được sử dụng như một trình duyệt thông thường, các thành phần hệ điều hành hoặc được phát triển đặc biệt. sản phẩm phần mềm, chẳng hạn như trình quản lý tải xuống phổ biến Tải về Master hoặc đa chức năng miễn phí Máy khách FTP FileZilla.

Những buổi học mẫu này sẽ giúp mọi việc trở nên rõ ràng hơn một chút. Theo truyền thống, đây là cổng 21 cho cổng lệnh và cổng 20 cho cổng dữ liệu. Tuy nhiên, sự nhầm lẫn bắt đầu khi chúng tôi phát hiện ra rằng, tùy theo chế độ, cổng dữ liệu không phải lúc nào cũng ở trên cổng.

Sau đó, máy chủ sẽ kết nối với cổng dữ liệu được chỉ định của máy khách từ cổng dữ liệu cục bộ của nó, đó là cổng. Ở bước 3, máy chủ bắt đầu kết nối trên cổng dữ liệu cục bộ của nó với cổng dữ liệu do máy khách chỉ định trước đó. Từ tường lửa phía máy khách, có vẻ như hệ thống bên ngoài đang bắt đầu kết nối với máy khách nội bộ - thứ thường bị chặn.

Giao thức FTP được phát triển từ thời mà máy khách và máy chủ tương tác trực tiếp mà không có bất kỳ biến đổi trung gian nào của các gói TCP và ở chế độ tiêu chuẩn, nó giả định khả năng tạo kết nối TCP không chỉ theo sáng kiến của máy khách mà còn theo ý muốn của bạn. sáng kiến của máy chủ từ cổng TCP 20 trên TCP - cổng máy khách, số lượng cổng này được truyền trong quá trình tạo phiên dữ liệu.

Đầu ra máy chủ bình thường được hiển thị bằng màu đen và đầu vào của người dùng được tô sáng in đậm. Có một vài điều thú vị về hộp thoại này. Như bạn có thể thấy trong ví dụ bên dưới, nó được định dạng dưới dạng một chuỗi gồm sáu số được phân tách bằng dấu phẩy. Để tìm cổng thực tế, nhân octet thứ năm với 256 rồi cộng octet thứ sáu vào tổng số.

Ở bước 3, máy khách sẽ bắt đầu kết nối dữ liệu từ cổng dữ liệu của nó đến cổng dữ liệu máy chủ được chỉ định. nhất một vấn đề lớn là nhu cầu cho phép mọi kết nối từ xa tới nhiều cổng trên máy chủ. Phụ lục 1 để biết thêm thông tin. Vấn đề thứ hai là hỗ trợ và khắc phục sự cố cho các máy khách hỗ trợ chế độ thụ động.

thực tế Hôm nayđến mức kết nối TCP từ máy chủ đến máy khách trong phần lớn các trường hợp là không thể hoặc rất khó thực hiện do thực tế là trong hầu hết các trường hợp, công nghệ dịch địa chỉ mạng được sử dụng để kết nối với Internet. NAT(Dịch địa chỉ mạng) khi máy khách không có giao diện mạng, có sẵn để tạo trực tiếp kết nối TCP từ trên mạng. Sơ đồ điển hình của kết nối Internet tiêu chuẩn trông như thế này:

Điều này có thể tốt hoặc xấu tùy thuộc vào việc máy chủ và tường lửa được cấu hình để thực hiện. Ở đây chúng ta thấy rằng cổng được mở trên hệ thống máy chủ chứ không phải trên máy khách. Máy khách sẽ thực hiện cả hai kết nối đến máy chủ, nhưng một trong số chúng sẽ có cổng cao ngẫu nhiên gần như chắc chắn sẽ bị tường lửa phía máy chủ chặn.

Cấu hình mạng cho chế độ thụ động

May mắn thay, có một số loại thỏa hiệp. Vì vậy, bất kỳ thứ gì khác ngoài phạm vi cổng này đều có thể là tường lửa phía máy chủ. Mặc dù điều này không loại bỏ được rủi ro đối với máy chủ nhưng nó làm giảm đáng kể rủi ro. Trong Phụ lục 1. Ở chế độ thụ động, hầu hết tải cấu hình đều ở phía máy chủ. Quản trị viên máy chủ phải định cấu hình máy chủ như được mô tả bên dưới.

Kết nối Internet được thực hiện thông qua một thiết bị đặc biệt - Bộ định tuyến(bộ định tuyến có chức năng NAT) có ít nhất hai cổng mạng- một kết nối với mạng của nhà cung cấp, có giao diện mạng với địa chỉ IP có thể định tuyến (được gọi là “IP trắng”), ví dụ: 212.248.22.144 và một cổng có giao diện mạng để kết nối các thiết bị mạng cục bộ với thiết bị mạng riêng, địa chỉ IP không thể định tuyến, ví dụ 192.168 .1.1 (“IP xám”). Khi tạo kết nối từ Thiết bị mạng mạng cục bộ đến các nút mạng bên ngoài, các gói IP được gửi đến bộ định tuyến, bộ định tuyến thực hiện dịch địa chỉ và cổng để địa chỉ của người gửi trở thành địa chỉ của anh ta. địa chỉ IP màu trắng. Kết quả dịch được lưu và khi nhận được gói phản hồi, quá trình dịch địa chỉ ngược sẽ được thực hiện. Do đó, bộ định tuyến đảm bảo chuyển tiếp các gói TCP/IP từ bất kỳ thiết bị nào trên mạng cục bộ tới mạng bên ngoài và chuyển tiếp các gói phản hồi nhận được. Nhưng trong trường hợp nhận được gói không liên quan đến gói phản hồi TCP ở đầu vào của giao diện mạng được kết nối với mạng của nhà cung cấp, phần mềm bộ định tuyến có thể có các tùy chọn phản ứng sau:

Cấu hình mạng cho chế độ hoạt động

Ở chế độ hoạt động, hầu hết tải cấu hình đều ở phía máy khách. Để máy chủ có thể kết nối đúng cách với máy khách để mở kết nối dữ liệu. Sử dụng hai kết nối truyền thông này, hai chế độ khác nhau công việc xác định hướng kết nối được cài đặt: chế độ hoạt động và chế độ thụ động.

Tường lửa thông thường chạy trên máy khách coi yêu cầu kết nối liên kết này từ máy chủ là không được yêu cầu và loại bỏ các gói, khiến quá trình truyền tệp không thành công. Theo mặc định, máy chủ sử dụng một cổng có sẵn trong phạm vi tạm thời.

Gói tin bị bỏ qua vì không có dịch vụ mạng nào xử lý nó.

Gói được nhận và xử lý bởi chính dịch vụ mạng của bộ định tuyến, nếu dịch vụ đó tồn tại và đang chờ kết nối đến (“nghe”) trên cổng có số được chỉ định trong gói nhận được.

Gói được chuyển tiếp đến một máy chủ trên mạng cục bộ dự kiến loại kết nối đến này tuân theo các quy tắc ánh xạ cổng được chỉ định trong cài đặt bộ định tuyến.

Cài đặt và cấu hình FileZilla FTP Server

Mở dấu nhắc lệnh của quản trị viên. Tài liệu này giải thích cách sử dụng chế độ chủ động hoặc thụ động để kết nối với máy chủ Giao thức truyền tệp. Trong một phiên điển hình chế độ hoạt động Cổng lệnh sử dụng cổng 21 và cổng dữ liệu sử dụng cổng. Tuy nhiên, khi bạn sử dụng chế độ thụ động, cổng dữ liệu không phải lúc nào cũng sử dụng cổng.

Cấu hình dịch địa chỉ mạng chặn yêu cầu kết nối này. Bạn cũng có thể cần mở một loạt cổng thụ động trên tường lửa của mình. Lưu các thay đổi vào tập tin cấu hình. . Chạy các lệnh sau để cho phép kết nối thông qua phạm vi cổng thụ động của tường lửa máy chủ của bạn.

Do đó, hiện nay, chế độ hoạt động chính sử dụng giao thức FTP đã trở thành cái gọi là “chế độ thụ động”, trong đó các kết nối TCP chỉ được thực hiện từ máy khách đến cổng TCP của máy chủ. Chế độ hoạt động được sử dụng trong trường hợp có thể kết nối TCP từ máy chủ đến cổng máy khách, chẳng hạn như khi chúng ở trên cùng một mạng cục bộ. Chế độ kết nối FTP được chọn bằng các lệnh đặc biệt:

Để những thay đổi này là vĩnh viễn, bạn phải làm như vậy. Để thực hiện những thay đổi này vĩnh viễn, bạn phải thêm cổng thụ động vào tệp cấu hình. Các bản cập nhật hệ thống có thể ghi đè lên những thay đổi cấu hình này. . Những sự cố này có thể giống với tường lửa hoặc sự cố kết nối khác, ngay cả khi tường lửa không tồn tại.

Hai chế độ truyền dữ liệu trong FTP

Để giải quyết những vấn đề này, hãy làm theo các bước sau: Blog này sẽ trả lời câu hỏi của bạn mà không để lại bất kỳ nghi ngờ nào. Chế độ hoạt động là chế độ mặc định, từng là chế độ duy nhất. Nó hoạt động khi người dùng kết nối từ bất kỳ cổng ngẫu nhiên nào để truyền tệp. Việc truyền tệp này kết nối máy khách với cổng 21 trên máy chủ. Máy chủ kết nối từ cổng 20 đến cổng máy khách, cổng này dành riêng cho kênh dữ liệu.

PASV- máy khách gửi lệnh thực hiện trao đổi dữ liệu ở chế độ thụ động. Máy chủ sẽ trả về địa chỉ và cổng mà bạn cần kết nối để nhận hoặc truyền dữ liệu. Ví dụ về một đoạn của phiên FTP có chế độ thụ động được đặt:

PASSV- lệnh chuyển sang chế độ thụ động được máy khách FTP truyền đến máy chủ FTP

Sự cố FTP trong mạng hiện đại

Bây giờ, khi kết nối được thiết lập, quá trình truyền tệp sẽ được thiết lập thông qua các cổng máy khách và máy chủ này. Bây giờ chúng ta hãy xem ở chế độ thụ động. Lệnh này hoạt động như một yêu cầu kết nối một số cổng. Ngay sau khi máy khách nhận được cổng, kết nối thứ hai sẽ ngay lập tức được bắt đầu và dữ liệu sẽ được gửi đi. Quy trình này hoạt động song song với tường lửa được cấu hình để sử dụng tính năng chuyển tiếp cổng nhằm tăng cường bảo mật. Dữ liệu sau đó sẽ được chuyển tiếp từ cổng tường lửa đến cổng máy chủ.

227 Vào Chế Độ Bị Động (212,248,22,144,195,89)- Phản hồi của máy chủ FTP, trong đó 227 là mã phản hồi, một tin nhắn văn bản về việc chuyển sang chế độ thụ động và trong ngoặc là địa chỉ IP và số cổng sẽ được sử dụng để tạo kênh truyền dữ liệu. Địa chỉ và số cổng được hiển thị dưới dạng số thập phân được phân tách bằng dấu phẩy. 4 số đầu tiên là địa chỉ IP (212.248.22.144), 2 số còn lại chỉ định số cổng, được tính theo công thức - số đầu tiên được nhân với 256 và số thứ hai được cộng vào kết quả, trong ví dụ này số cổng là 195 * 256 +89 = 50017

Điều này buộc máy khách bên ngoài truy cập trực tiếp vào máy chủ. Điều này sẽ giúp mở kết nối dữ liệu trở lại máy khách. Sau đó, máy khách sẽ tạo kết nối dữ liệu đến máy chủ. Đây là lời khuyên khách hàng không nên dựa vào các giá trị mặc định vì những giá trị này không an toàn.

Chế độ FTP chủ động và thụ động

Khi đầu bên kia kết nối với bên tín hiệu thì việc truyền dữ liệu sẽ diễn ra. Sau khi quá trình truyền dữ liệu hoàn tất, bên bắt đầu quá trình truyền dữ liệu sẽ đóng kết nối dữ liệu, báo hiệu sự kết thúc của tệp. Bạn phải kích hoạt phạm vi cổng thụ động trong tường lửa máy chủ.

PORT Địa chỉ IP của máy khách Số cổng- máy khách gửi lệnh để thiết lập phiên ở chế độ hoạt động. Địa chỉ IP và số cổng được chỉ định theo cùng định dạng như trong ví dụ trước, ví dụ PORT 212.248.22.144,195,89 Để tổ chức truyền dữ liệu, máy chủ sẽ tự kết nối với máy khách trên cổng được chỉ định.

Cài đặt và cấu hình FileZilla FTP Server.

Tải gói cài đặt Máy chủ FileZilla cho phiên bản của bạn hệ điều hành có thể tại

Tôi hy vọng tất cả các câu hỏi của bạn cần được trả lời. Nếu bạn có thêm câu hỏi liên quan đến vấn đề này, vui lòng cho chúng tôi biết. Kết nối dữ liệu được thiết lập từ một cổng tạm thời trên máy chủ máy chủ đến một cổng tạm thời trên máy chủ khách. Ở chế độ thụ động, cả kết nối điều khiển và dữ liệu đều được thiết lập để gửi qua tường lửa tới Internet. Kiểm soát kết nối Kết nối dữ liệu. . Chế độ hoạt động là mặc định nhưng người dùng thường có thể chuyển sang chế độ thụ động.

Chế độ thụ động nâng cao Chế độ thụ động nâng cao rất giống với Chế độ thụ động. Hỗ trợ bạn sử dụng tùy thuộc vào cấu trúc liên kết mạng của bạn. Quản trị viên tường lửa cần thêm quy tắc lọc tĩnh cho phạm vi dữ liệu thụ động. Trong trường hợp này, bạn nên sử dụng chế độ thụ động nâng cao. . Các chế độ này được gọi là tiêu chuẩn và thụ động.

Đang tiến hành cài đặt máy chủ một cách chuẩn mực, ngoại trừ mục chọn cài đặt bảng điều khiển máy chủ:

Đây là công cụ quản lý máy chủ chính mà qua đó tất cả các cài đặt cần thiết được thực hiện. Theo mặc định, bảng điều khiển hoạt động trên giao diện loopback mà không cần truy cập mật khẩu. Nếu cần thiết, ví dụ, nếu được yêu cầu điều khiển từ xa Máy chủ FTP, những cài đặt này có thể được thay đổi.

Các cấu hình tường lửa cung cấp quyền truy cập đầy đủ vào tất cả các cổng tạm thời cho các kết nối không được yêu cầu có thể được coi là không an toàn. Sử dụng macro là cách ưa thích để tạo các quy tắc được mô tả ở trên. Dưới đây là một số ví dụ.

Giải quyết vấn đề về địa chỉ IP động

Máy chủ chạy phía sau một cổng giả mạo. Khi những trường hợp như vậy xảy ra, bạn sẽ thấy thông báo trên bảng điều khiển như thế này. Giải pháp của tôi là thêm quy tắc sau. Nếu bạn gặp vấn đề với tường lửa của mình, vui lòng đọc kỹ phần này.

Sau khi cài đặt hoàn tất, một cửa sổ mời sẽ mở ra để kết nối với máy chủ:

Sau khi nhập địa chỉ IP, số cổng và mật khẩu (nếu bạn đã chỉ định chúng trong quá trình cài đặt), bảng điều khiển FileZilla Server sẽ mở ra:

Ở phía trên cùng của cửa sổ có các nút menu chính và bảng điều khiển. Bên dưới có hai khu vực - thông báo thông tin máy chủ và thông tin thống kê. Nhìn chung, bảng điều khiển FTP của FileZilla Servver khá đơn giản và dễ sử dụng. Các mục menu chính:

Sau khi kết nối được thiết lập, máy khách sẽ xác thực với máy chủ, khi đó kết nối đó sẽ là một máy khách và máy chủ sẽ "chat" với nhau. Kết nối này sẽ không được sử dụng để truyền tệp và với mỗi tệp, một kết nối mới sẽ được thiết lập để truyền dữ liệu tệp. Có hai cách để mở các kênh dữ liệu mới này: chủ động và thụ động.

Sau đó, máy chủ sẽ kết nối với cổng dữ liệu máy khách này bằng cổng dữ liệu cục bộ của chính nó, đó chính là cổng. Giao thức truyền tệp là một trong những giao thức lâu đời nhất và được sử dụng phổ biến nhất trên Internet hiện nay. Mục đích của nó là truyền tệp một cách an toàn giữa các máy tính trong mạng mà không yêu cầu người dùng đăng nhập trực tiếp vào máy chủ từ xa hoặc có kiến thức về cách sử dụng hệ thống từ xa. Nó cho phép người dùng truy cập các tập tin trên hệ thống từ xa bằng cách sử dụng một bộ lệnh đơn giản tiêu chuẩn.

Tài liệu- các chế độ hoạt động của bảng điều khiển máy chủ FTP. Chứa các mục phụ

- Kết nối với máy chủ- kết nối với máy chủ
- Ngắt kết nối- ngắt kết nối khỏi máy chủ
- Từ bỏ- tắt bảng điều khiển.

Máy chủ- Quản lý máy chủ FTP. Gồm các tiểu mục:

- Tích cực- khởi động/dừng máy chủ FTP. Nếu hộp kiểm được chọn, máy chủ FTP sẽ được khởi động, nếu không được chọn, nó sẽ dừng.
- Khóa- cấm/cho phép kết nối đến máy chủ. Khi hộp kiểm được chọn, các kết nối mới tới máy chủ sẽ bị cấm.

Nhiều cổng, nhiều chế độ

Cổng này được sử dụng để phát hành tất cả các lệnh đến máy chủ. Mọi dữ liệu được yêu cầu từ máy chủ sẽ được trả về máy khách thông qua cổng dữ liệu. Số cổng cho kết nối dữ liệu và cách khởi tạo kết nối dữ liệu khác nhau tùy thuộc vào việc máy khách đang yêu cầu dữ liệu ở chế độ chủ động hay thụ động.

Các chế độ sau đây được liệt kê dưới đây. Quy ước này có nghĩa là máy khách phải được phép chấp nhận kết nối trên bất kỳ cổng nào. Với sự gia tăng của các mạng không an toàn như Internet, việc sử dụng tường lửa để bảo vệ máy khách hiện nay là phổ biến.

Biên tập- chỉnh sửa cài đặt. Các mục phụ:

- Cài đặt- cài đặt máy chủ cơ bản.
- Người dùng- Cài đặt người dùng máy chủ FTP
- Các nhóm- cài đặt nhóm người dùng.

Ví dụ: hãy định cấu hình máy chủ cho các điều kiện sau:

máy chủ đứng sau NAT, có địa chỉ IP riêng nhưng phải truy cập được từ Internet, hỗ trợ chế độ thụ động và sử dụng không chuẩn cổng TCP. Sử dụng cổng không chuẩn làm giảm khả năng tin tặc tấn công Ngoài ra, một số nhà cung cấp sử dụng tính năng lọc lưu lượng và chặn cổng tiêu chuẩn 20 và 21.

người dùng có khả năng tải xuống từ máy chủ, tải lên máy chủ, xóa và đổi tên các tập tin và thư mục.

trong trường hợp sử dụng địa chỉ IP động, cần đảm bảo tính khả dụng của máy chủ theo tên DNS.

máy chủ sẽ hoạt động trên máy trạm trong môi trường HĐH Windows 7 / Windows 8.

Nói cách khác, bạn cần tạo một máy chủ FTP có thể truy cập từ Internet để trao đổi tệp giữa những người dùng, tất nhiên là miễn phí. Rõ ràng là ngoài việc tạo cấu hình cần thiết cho chính máy chủ FTP, bạn sẽ cần thay đổi một số cài đặt bộ định tuyến, cài đặt tường lửa Windows và giải quyết vấn đề về địa chỉ IP động để máy chủ có thể truy cập được bằng tên, bất kể tên nào. của sự thay đổi địa chỉ IP.

Giải quyết vấn đề về địa chỉ IP động.

Sau đó, máy khách kết nối với cổng này trên máy chủ để tải xuống thông tin được yêu cầu. Mặc dù chế độ thụ động loại bỏ các vấn đề liên lạc tường lửa phía máy khách khi kết nối với dữ liệu, nhưng nó có thể khiến việc quản lý tường lửa phía máy chủ trở nên khó khăn hơn. Điều này cũng giúp đơn giản hóa quá trình cấu hình các quy tắc tường lửa cho máy chủ. Phần 8 “Cài đặt mạng”. Tùy thuộc vào cấu hình mạng nhất định, chế độ này phải hoạt động hoặc thụ động.

Đúng như tên gọi của chúng, kênh lệnh được sử dụng để truyền lệnh cũng như phản hồi cho các lệnh đó, trong khi kênh dữ liệu được sử dụng để truyền dữ liệu. Mặt khác, cổng bạn sẽ sử dụng cho liên kết dữ liệu có thể khác nhau tùy thuộc vào chế độ truyền dữ liệu đã chọn. Nếu bạn chọn chế độ hoạt động thì kênh dữ liệu thường sẽ là cổng. Nhưng nếu bạn chọn chế độ thụ động, cổng sẽ được sử dụng sẽ là cổng ngẫu nhiên.

Sự cố này không yêu cầu giải pháp trong trường hợp khi kết nối Internet, địa chỉ IP tĩnh được sử dụng hoặc địa chỉ IP động, nhưng theo cài đặt của nhà cung cấp, địa chỉ này hầu như luôn giống nhau. Nếu không, bạn có thể sử dụng một công nghệ gọi là Thuốc nổ DNS (DDNS) . Công nghệ này, cho phép bạn cập nhật thông tin địa chỉ IP trên máy chủ DNS trong thời gian gần như thực và truy cập bộ định tuyến (và các dịch vụ đằng sau nó) bằng tên đã đăng ký mà không cần chú ý đến các thay đổi IP động.

Để triển khai công nghệ này miễn phí, bạn sẽ cần phải đăng ký với một số dịch vụ DNS động và cài đặt phần mềm máy khách để cập nhật bản ghi DNS nếu địa chỉ IP tương ứng thay đổi. Hỗ trợ DNS động thường được cung cấp bởi nhà sản xuất thiết bị mạng(D-Link, Zyxel, v.v.), một số công ty lưu trữ và chuyên biệt, chẳng hạn như DynDNS nổi tiếng. Tuy nhiên, sau nửa cuối năm 2014, tất cả các dịch vụ được cung cấp miễn phí cho người dùng đã đăng ký vì mục đích phi thương mại đều trở thành phải trả phí, giải pháp phổ biến nhất có lẽ là sử dụng DNS động dựa trên dịch vụ Không-IP.org, cung cấp dịch vụ hỗ trợ miễn phí cho 2 nút có IP động. Để sử dụng dịch vụ miễn phí, bạn cần đăng ký và định kỳ (khoảng mỗi tháng một lần) truy cập trang web để cập nhật thông tin về các nút IP động được sử dụng. Nếu bạn bỏ qua việc cập nhật dữ liệu nút, dịch vụ sẽ bị tạm dừng và do đó, sẽ không thể kết nối với nút theo tên. Tại sử dụng trả phí không cần cập nhật dịch vụ.

Hầu hết tất cả các bộ định tuyến (modem) hiện đại đều có hỗ trợ tích hợp cho máy khách DNS động. Việc thiết lập nó thường rất đơn giản - bạn điền vào các trường tên người dùng và mật khẩu, cũng như tên máy chủ nhận được khi đăng ký dịch vụ DDNS. Ví dụ cho Zyxel P660RU2

Sử dụng ứng dụng khách DDNS được tích hợp trong bộ định tuyến/modem sẽ tốt hơn tiện ích cập nhật dữ liệu DNS chạy trong môi trường hệ điều hành vì nó cho phép bạn triển khai các tính năng bổ sung, chẳng hạn như quản lý bộ định tuyến qua Internet khi máy tính tắt và kích hoạt từ xa cấp nguồn cho máy tính sử dụng công nghệ NAT Thức Tỉnh Lan.

Trong những trường hợp không thể sử dụng ứng dụng khách DDNS tích hợp sẵn, bạn sẽ phải thực hiện bằng phần mềm ứng dụng - một chương trình ứng dụng khách để hỗ trợ DNS động. Một chương trình như vậy kết nối định kỳ với một máy chủ hỗ trợ địa chỉ đã đăng ký Tên miền, được liên kết với bộ định tuyến nơi kết nối Internet được thực hiện và gọi quy trình cập nhật IP khi nó thay đổi. Cài đặt máy chủ được thực hiện theo cách hoàn thành việc so sánh tên DNS và địa chỉ IP của kết nối Internet trong thời gian rất ngắn và tính chất động của địa chỉ hầu như không ảnh hưởng đến hiệu suất của các dịch vụ được liên kết với tên DNS.

Và trên thực tế, mọi thứ đều đơn giản khi bạn có kiến thức về những gì đang xảy ra... đối với những người muốn hiểu - hãy đọc phần “lý thuyết” bên dưới, phần còn lại hãy “hướng dẫn” bằng hình ảnh để thiết lập, sử dụng ví dụ Zyxel Keenetic II Giga(chương trình cơ sở V2) và Máy chủ G6FTP trên một trong các máy tính trong mạng gia đình.

Khi làm việc bằng giao thức FTP, hai kết nối được thiết lập giữa máy khách và máy chủ - kết nối điều khiển (các lệnh được gửi qua nó) và kết nối dữ liệu (các tệp được truyền qua nó). Kết nối điều khiển giống nhau ở chế độ Chủ động và Bị động. Máy khách bắt đầu kết nối TCP từ cổng động (1024-65535) đến cổng số 21 trên máy chủ FTP và nói “Xin chào! Tôi muốn kết nối với bạn. Đây là tên và mật khẩu của tôi." Các hành động tiếp theo tùy thuộc vào chế độ FTP (Hoạt động hoặc Bị động) được chọn.
Chế độ hoạt động. Khi khách hàng nói “Xin chào!” nó cũng cho máy chủ biết số cổng (từ dải động 1024-65535) để máy chủ có thể kết nối với máy khách nhằm thiết lập kết nối dữ liệu. Máy chủ FTP kết nối với số cổng máy khách được chỉ định, sử dụng cổng TCP số 20 để truyền dữ liệu. Đối với khách hàng, một kết nối như vậy đang đến. Vì vậy, việc thường xuyên làm việc ở chế độ hoạt động với các máy khách nằm phía sau tường lửa hoặc NAT là khó khăn hoặc đòi hỏi cài đặt thêm.
Chế độ thụ động. Ở chế độ Bị động, sau khi máy khách nói “Xin chào!”, máy chủ sẽ cho máy khách biết địa chỉ IP và số cổng TCP (từ dải động 1024-65535) mà máy chủ có thể kết nối để thiết lập kết nối dữ liệu. Trong phần tiếp theo chúng tôi sẽ gọi chúng là cổng thụ động. Trong trường hợp này, có thể dễ dàng nhận thấy, các cổng trong kết nối như vậy, cả ở phía máy khách và phía máy chủ, hóa ra là tùy ý. Ở chế độ thụ động, máy khách có thể dễ dàng làm việc với máy chủ thông qua tường lửa của nó, nhưng thường để máy chủ hỗ trợ chế độ thụ động thì tường lửa phải được cấu hình phù hợp ở phía máy chủ.

Sự khác biệt chính giữa chế độ Active FTP và chế độ Passive FTP là phía mở kết nối để truyền dữ liệu. Ở chế độ Hoạt động, máy khách phải có khả năng chấp nhận kết nối này từ máy chủ FTP. Ở chế độ Bị động, máy khách luôn tự khởi tạo kết nối này và máy chủ phải chấp nhận nó.

Chế độ FTP thụ động được thiết kế để kết nối các máy khách nằm phía sau Tường lửa. Trong mạng gia đình, chế độ hoạt động này phải là chế độ chính của máy chủ FTP nếu bạn muốn người dùng không gặp vấn đề gì khi truy cập.

Bây giờ hãy thực hành bằng hình ảnh.

Đầu tiên, chúng tôi liên kết máy tính với IP, trong trường hợp của tôi là 10.0.0.100

sau đó chúng tôi cấu hình cổng tiêu chuẩn ftp

và thêm cổng để làm việc ở chế độ thụ động

Chế độ FTP

Ở chế độ Hoạt động, khi khách hàng nói "Xin chào!" nó cũng cho máy chủ biết số cổng (từ dải động 1024-65535) để máy chủ có thể kết nối với máy khách nhằm thiết lập kết nối dữ liệu. Máy chủ FTP kết nối với số cổng máy khách được chỉ định bằng cổng TCP số 20 để truyền dữ liệu. Đối với máy khách, một kết nối như vậy đang đến, do đó, làm việc ở chế độ hoạt động với các máy khách nằm phía sau tường lửa hoặc NAT thường khó khăn hoặc yêu cầu cài đặt bổ sung.

Ở chế độ Bị động, sau khi máy khách nói "Xin chào!", máy chủ sẽ thông báo cho máy khách số cổng TCP (từ dải động 1024-65535) mà nó có thể kết nối để thiết lập kết nối dữ liệu. Trong trường hợp này, có thể dễ dàng nhận thấy, các cổng trong kết nối như vậy, cả ở phía máy khách và phía máy chủ, hóa ra là tùy ý. Ở chế độ thụ động, máy khách có thể dễ dàng làm việc với máy chủ thông qua tường lửa của nó, nhưng thường để máy chủ hỗ trợ chế độ thụ động thì tường lửa phải được cấu hình phù hợp ở phía máy chủ.

FTP là một dịch vụ chỉ dựa trên TCP (Giao thức điều khiển truyền tải). FTP khác thường ở chỗ nó sử dụng hai cổng, một cổng "dữ liệu" và một cổng "lệnh" (còn được gọi là cổng điều khiển). Theo truyền thống, đây là cổng 21 cho lệnh và cổng 20 cho dữ liệu. Tuy nhiên, tùy vào chế độ mà cổng dữ liệu không phải lúc nào cũng là 20.

TRONG chế độ hoạt động Máy khách FTP kết nối từ một cổng không có đặc quyền tùy ý (N > 1024) đến cổng lệnh máy chủ FTP 21. Sau đó, máy khách bắt đầu nghe trên cổng N+1 và gửi lệnh FTP PORT N+1 đến máy chủ FTP. Để phản hồi, máy chủ kết nối với cổng dữ liệu máy khách được chỉ định từ cổng dữ liệu cục bộ 20.

TRONG chế độ thụ động Máy khách FTP khởi tạo cả hai kết nối đến máy chủ, giải quyết vấn đề với tường lửa lọc cổng đến dữ liệu khách hàng. Khi mở kết nối FTP, máy khách sẽ mở cục bộ hai cổng không có đặc quyền (N > 1024 và N+1). Cổng đầu tiên liên lạc với máy chủ trên cổng 21, nhưng thay vì đưa ra lệnh PORT và cho phép máy chủ phản hồi bằng cách kết nối với cổng dữ liệu của nó, máy khách sẽ đưa ra lệnh PASV. Kết quả là, máy chủ mở một cổng không có đặc quyền tùy ý (P > 1024) và gửi lệnh PORT P đến máy khách. Sau đó, để truyền dữ liệu, máy khách bắt đầu kết nối từ cổng N+1 đến cổng P trên máy chủ.

FTP là một dịch vụ dựa trên TCP độc quyền. Không có thành phần UDP cho FTP. FTP là một dịch vụ đặc biệt ở chỗ nó sử dụng hai cổng, một cổng "dữ liệu" và một cổng "lệnh" (còn được gọi là cổng điều khiển). Theo truyền thống, đây là cổng 21 cho cổng lệnh và cổng 20 cho cổng dữ liệu. Tuy nhiên, sự nhầm lẫn bắt đầu khi chúng tôi nhận thấy rằng tùy thuộc vào chế độ, cổng dữ liệu không phải lúc nào cũng ở cổng 20.

FTP đang hoạt động

Trong chế độ hoạt động FTP, máy khách kết nối từ một cổng ngẫu nhiên không có đặc quyền (N > 1023) tới cổng Máy chủ ftp"s command port, port 21. Sau đó, máy khách bắt đầu nghe cổng N+1 và gửi lệnh FTP PORT N+1 đến máy chủ FTP. Sau đó, máy chủ sẽ kết nối lại với cổng dữ liệu được chỉ định của máy khách từ cục bộ của nó cổng dữ liệu, đó là cổng 20.

Từ quan điểm của tường lửa phía máy chủ, để hỗ trợ chế độ hoạt động FTP, cần phải mở các kênh liên lạc sau:

Cổng 21 của máy chủ FTP đến các cổng >
Cổng 20 của máy chủ FTP đến cổng > 1023 (Máy chủ khởi tạo kết nối dữ liệu với cổng dữ liệu của máy khách)
Cổng 20 của máy chủ FTP từ các cổng > 1023 (Máy khách gửi ACK đến cổng dữ liệu của máy chủ)

Ở bước 1, cổng lệnh của máy khách liên lạc với cổng lệnh của máy chủ và gửi lệnh PORT 1027. Sau đó, máy chủ gửi ACK trở lại cổng lệnh của máy khách ở bước 2. Ở bước 3, máy chủ bắt đầu kết nối trên cổng dữ liệu cục bộ của nó tới cổng dữ liệu mà máy khách đã chỉ định trước đó. Cuối cùng, máy khách sẽ gửi lại ACK như trong bước 4.

Vấn đề chính với chế độ hoạt động FTP thực sự nằm ở phía máy khách. Máy khách FTP không tạo kết nối thực tế đến cổng dữ liệu của máy chủ--nó chỉ cho máy chủ biết nó đang nghe trên cổng nào và máy chủ kết nối trở lại cổng được chỉ định trên máy khách. Từ tường lửa phía máy khách, điều này xuất hiện là một hệ thống bên ngoài bắt đầu kết nối với máy khách nội bộ--thứ thường bị chặn.

FTP thụ động

Để giải quyết vấn đề máy chủ khởi tạo kết nối với máy khách, một phương pháp khác dành cho kết nối FTP đã được phát triển. Đây được gọi là chế độ thụ động, hay PASV, sau lệnh được máy khách sử dụng để báo cho máy chủ biết nó đang ở chế độ thụ động.

Ở chế độ thụ động FTP, máy khách khởi tạo cả hai kết nối đến máy chủ, giải quyết vấn đề tường lửa lọc kết nối cổng dữ liệu đến máy khách từ máy chủ. Khi mở kết nối FTP, máy khách sẽ mở cục bộ hai cổng không có đặc quyền ngẫu nhiên (N > 1023 và N+1). Cổng đầu tiên liên lạc với máy chủ trên cổng 21, nhưng thay vì đưa ra lệnh PORT và cho phép máy chủ kết nối trở lại cổng dữ liệu của nó, máy khách sẽ đưa ra lệnh PASV. Kết quả của việc này là máy chủ sau đó sẽ mở một cổng ngẫu nhiên không có đặc quyền (P > 1023) và gửi lệnh PORT P trở lại máy khách. Sau đó, máy khách bắt đầu kết nối từ cổng N+1 đến cổng P trên máy chủ để truyền dữ liệu.

Từ quan điểm của tường lửa phía máy chủ, để hỗ trợ chế độ thụ động FTP, cần phải mở các kênh liên lạc sau:
Cổng 21 của máy chủ FTP từ mọi nơi (Máy khách bắt đầu kết nối)
Cổng 21 của máy chủ FTP đến các cổng > 1023 (Máy chủ phản hồi cổng điều khiển của máy khách)
Cổng của máy chủ FTP > 1023 từ mọi nơi (Máy khách khởi tạo kết nối dữ liệu tới cổng ngẫu nhiên do máy chủ chỉ định)
Cổng của máy chủ FTP > 1023 đến cổng từ xa > 1023 (Máy chủ gửi ACK (và dữ liệu) đến cổng dữ liệu của máy khách)

Biểu đồ sau sẽ giúp quản trị viên nhớ cách hoạt động của từng chế độ FTP:
FTP đang hoạt động:
lệnh: máy khách>1023 -> máy chủ 21
dữ liệu: khách hàng >1023<- server 20

FTP thụ động:
lệnh: máy khách>1023 -> máy chủ 21
dữ liệu: máy khách>1023 -> máy chủ>1023

Tóm tắt nhanh về ưu và nhược điểm của hoạt động so với hoạt động. FTP thụ động cũng theo thứ tự:

FTP hoạt động có lợi cho quản trị viên máy chủ FTP nhưng lại gây bất lợi cho quản trị viên phía máy khách. Máy chủ FTP cố gắng tạo kết nối tới các cổng cao ngẫu nhiên trên máy khách, cổng này gần như chắc chắn sẽ bị chặn bởi tường lửa ở phía máy khách. FTP thụ động có lợi cho máy khách nhưng lại gây bất lợi cho quản trị viên máy chủ FTP. Máy khách sẽ thực hiện cả hai kết nối đến máy chủ, nhưng một trong số chúng sẽ đến một cổng cao ngẫu nhiên, cổng này gần như chắc chắn sẽ bị chặn bởi tường lửa ở phía máy chủ.

May mắn thay, có một sự thỏa hiệp nào đó. Vì quản trị viên chạy máy chủ FTP sẽ cần làm cho máy chủ của họ có thể truy cập được với số lượng khách hàng lớn nhất nên họ gần như chắc chắn sẽ cần hỗ trợ FTP thụ động. Có thể giảm thiểu việc hiển thị các cổng cấp cao trên máy chủ bằng cách chỉ định phạm vi cổng giới hạn để máy chủ FTP sử dụng. Do đó, mọi thứ ngoại trừ phạm vi cổng này đều có thể được tường lửa ở phía máy chủ. Mặc dù điều này không loại bỏ tất cả rủi ro đối với máy chủ nhưng nó làm giảm đáng kể rủi ro.

3 câu trả lời

Chủ động và thụ động là hai chế độ mà FTP có thể hoạt động. FTP sử dụng hai kênh giữa máy khách và máy chủ, kênh lệnh và kênh dữ liệu, thực chất là các kết nối TCP riêng biệt. Kênh lệnh dành cho các lệnh và phản hồi, kênh dữ liệu dành cho truyền tệp thực tế. Đây là một cách tuyệt vời để gửi lệnh đến máy chủ mà không cần đợi quá trình truyền dữ liệu hiện tại hoàn tất.

Ở chế độ hoạt động, máy khách thiết lập kênh lệnh (từ cổng máy khách X đến cổng máy chủ 21(b)), nhưng máy chủ thiết lập kênh dữ liệu (từ cổng máy chủ 20(b) đến cổng máy khách Y, trong đó Y được cung cấp bởi khách hàng).

Ở chế độ thụ động, máy khách thiết lập cả hai kênh. Trong trường hợp này, máy chủ sẽ cho khách hàng biết cổng nào sẽ được sử dụng cho kênh dữ liệu.

Chế độ thụ động thường được sử dụng trong trường hợp máy chủ FTP không thể thiết lập kênh dữ liệu. Một trong những lý do chính cho việc này là tường lửa mạng. Mặc dù bạn có thể có quy tắc tường lửa cho phép bạn mở các kênh FTP tới ftp.microsoft.com nhưng các máy chủ của Microsoft có thể không mở được kênh dữ liệu qua tường lửa.

Chế độ thụ động giải quyết vấn đề này bằng cách mở cả hai loại kênh ở phía máy khách. Để làm cho điều này rõ ràng hơn một cách đáng tin cậy:

Chế độ hoạt động:

Máy khách gửi PORT 2001(a) đến máy chủ và máy chủ xác nhận trong kênh lệnh.
Máy chủ mở kênh dữ liệu từ cổng máy chủ 20 (b) đến cổng máy khách 2001 (a).
Khách hàng xác nhận kênh dữ liệu.

Chế độ thụ động:

Máy khách mở kênh lệnh từ cổng máy khách 2000(a) đến cổng máy chủ 21(b).
Máy khách gửi PASV đến máy chủ trong kênh lệnh.
Máy chủ gửi lại (trong kênh lệnh) PORT 1234(a) sau khi bắt đầu nghe trên cổng đó.
Máy khách mở kênh dữ liệu từ máy khách 2001(a) đến cổng máy chủ 1234(a).
Máy chủ xác nhận kênh dữ liệu.

Tại thời điểm này, các lệnh và kênh dữ liệu đang mở.

(a) Lưu ý rằng việc lựa chọn cổng phía máy khách là dành riêng cho máy khách, vì việc lựa chọn cổng liên kết dữ liệu của máy chủ ở chế độ thụ động là dành riêng cho máy chủ.

(b) Cần lưu ý thêm rằng việc sử dụng cổng 20 và 21 chỉ mang tính chất có điều kiện (dù rất mạnh). Không có yêu cầu tuyệt đối về việc sử dụng các cổng này, mặc dù máy khách và máy chủ phải thống nhất về cổng nào được sử dụng. Tôi đã thấy các triển khai cố gắng ẩn khỏi khách hàng bằng các cổng khác nhau (theo ý kiến của tôi là vô ích).

Gần đây tôi đã gặp phải vấn đề này tại nơi làm việc của mình, vì vậy tôi đoán tôi nên nói thêm điều gì đó ở đây. Tôi sẽ sử dụng một hình ảnh để giải thích cách hoạt động của FTP nguồn bổ sung cho câu trả lời trước.

Chế độ hoạt động:

Chế độ thụ động:

Trong cấu hình chế độ hoạt động, máy chủ sẽ cố gắng kết nối với một cổng máy khách ngẫu nhiên. Rất có thể, cổng này sẽ không phải là một trong những cổng được xác định trước. Do đó, nỗ lực kết nối với nó sẽ bị tường lửa chặn và kết nối sẽ không được thiết lập.

Cấu hình thụ động sẽ không gặp phải vấn đề này vì máy khách sẽ là người khởi tạo kết nối. Tất nhiên, phía máy chủ cũng có thể có tường lửa. Tuy nhiên, vì máy chủ dự kiến sẽ nhận được số lượng lớn các yêu cầu kết nối so với máy khách thì sẽ hợp lý khi quản trị viên máy chủ thích ứng với tình huống và mở một số cổng để đáp ứng cấu hình chế độ thụ động.

Vì vậy, tốt hơn hết bạn nên thiết lập máy chủ hỗ trợ FTP ở chế độ thụ động. Tuy nhiên, chế độ thụ động sẽ khiến hệ thống của bạn dễ bị tấn công vì máy khách phải kết nối với máy chủ ngẫu nhiên. Vì vậy, để hỗ trợ chế độ này, máy chủ của bạn không chỉ phải có sẵn nhiều cổng mà tường lửa của bạn còn phải cho phép kết nối đến tất cả các cổng đó!

Để giảm thiểu rủi ro, một giải pháp tốt là chỉ định một loạt cổng trên máy chủ của bạn và sau đó chỉ cho phép phạm vi cổng đó trên tường lửa của bạn.

Để có được thông tin thêm kiểm tra các tài liệu chính thức.

Phiên bản rút gọn của các chế độ kết nối FTP trong bài viết của tôi (Hoạt động so với Bị động):

Cách thức Kết nối FTP(chủ động hoặc thụ động) xác định cách thiết lập kết nối dữ liệu. Trong cả hai trường hợp, máy khách tạo kết nối điều khiển TCP tới cổng 21 của máy chủ FTP. Đây là kết nối gửi đi tiêu chuẩn, giống như với bất kỳ giao thức truyền tệp nào khác (SFTP, SCP, WebDAV) hoặc bất kỳ ứng dụng khách TCP nào khác (chẳng hạn như trình duyệt web). Vì vậy, thường không có vấn đề gì khi mở kết nối điều khiển.

Trong đó FTP phức tạp hơn các giao thức truyền tệp khác là truyền tệp. Trong khi các giao thức khác sử dụng cùng một kết nối để quản lý phiên và truyền tệp (dữ liệu), thì giao thức FTP sử dụng một kết nối riêng để truyền tệp và thư mục.

Ở chế độ hoạt động, máy khách bắt đầu lắng nghe trên một cổng ngẫu nhiên các kết nối dữ liệu đến từ máy chủ (máy khách gửi Lệnh FTP PORT để báo cho máy chủ biết nó đang nghe trên cổng nào). Ngày nay, thông thường máy khách nằm sau tường lửa (chẳng hạn như tường lửa tích hợp sẵn trong Windows) hoặc bộ định tuyến NAT (chẳng hạn như modem ADSL), không thể chấp nhận các kết nối TCP đến.

Ở chế độ thụ động, máy khách sử dụng kết nối điều khiển để gửi lệnh PASV đến máy chủ, sau đó nhận địa chỉ IP và số cổng máy chủ của máy chủ từ máy chủ, sau đó máy khách sử dụng lệnh này để mở kết nối đến địa chỉ IP và cổng máy chủ của máy chủ con số.

Cấu hình mạng cho chế độ thụ động

Ở chế độ thụ động, hầu hết tải cấu hình đều ở phía máy chủ. Quản trị viên máy chủ phải định cấu hình máy chủ như được mô tả bên dưới.

Tường lửa và NAT ở phía máy chủ FTP phải được cấu hình không chỉ để cho phép/định tuyến các kết nối đến cổng FTP 21 mà còn trên một số cổng cho các kết nối dữ liệu đến. Thông thường, phần mềm máy chủ FTP có tùy chọn cấu hình để định cấu hình phạm vi cổng sẽ được máy chủ sử dụng. Và phạm vi tương tự phải được mở/định tuyến trên tường lửa/NAT.

Khi máy chủ FTP ở phía sau NAT, nó phải biết địa chỉ IP bên ngoài của nó để có thể cung cấp địa chỉ đó cho máy khách theo lệnh PASV.

Cấu hình mạng cho chế độ hoạt động

Ở chế độ hoạt động, hầu hết tải cấu hình đều ở phía máy khách.

Tường lửa (chẳng hạn như Tường lửa Windows) và NAT (chẳng hạn như quy tắc định tuyến modem ADSL) ở phía máy khách phải được cấu hình để cho phép/định tuyến một loạt cổng cho các kết nối dữ liệu đến. Để mở cổng trong Windows, hãy đi tới Bảng điều khiển > Hệ thống và bảo mật > Tường lửa Windows" > "Cài đặt nâng cao" > "Quy tắc đến" > "Quy tắc mới". Để định tuyến các cổng tới NAT (nếu có), hãy tham khảo tài liệu của nó.

Khi NAT có trên mạng của bạn, máy khách FTP phải biết địa chỉ IP bên ngoài của nó mà WinSCP phải cung cấp cho máy chủ FTP bằng lệnh PORT. Để máy chủ có thể kết nối đúng cách với máy khách để mở kết nối dữ liệu. Một số máy khách FTP có thể tự động phát hiện địa chỉ IP bên ngoài, một số trong số chúng phải được cấu hình thủ công.

Tường lửa thông minh/NAT

Một số tường lửa/NAT cố gắng tự động mở/đóng cổng dữ liệu bằng cách kiểm tra kết nối với kết nối FTP và/hoặc dịch địa chỉ IP kết nối dữ liệu thành lưu lượng kết nối điều khiển.

Khi sử dụng tường lửa/NAT như vậy, cấu hình trên không bắt buộc đối với FTP không được mã hóa đơn giản. Nhưng điều này không thể hoạt động với FTPS vì lưu lượng kết nối điều khiển được mã hóa và tường lửa/NAT không thể kiểm tra và sửa đổi nó.

Trước khi giải thích sự khác biệt giữa chế độ FTP chủ động và thụ động, cần xác định rõ FTP là gì và cách thức hoạt động của nó. viết tắt tiếng anh FTP là viết tắt của Giao thức truyền tập tin, được dịch sang tiếng Nga có nghĩa là giao thức truyền tệp. Nó được thiết kế để thiết lập kết nối giữa máy khách, tức là người dùng và máy chủ từ xa.

Giao thức FTP thiết lập hai loại kết nối giữa máy khách và máy chủ. Một trong số đó được gọi là kết nối điều khiển và nhằm mục đích truyền lệnh, và lệnh thứ hai được gọi là kết nối dữ liệu và được thiết kế để truyền các tập tin khác nhauđến máy chủ. Các chế độ vận hành FTP chủ động hoặc thụ động không liên quan gì đến loại kết nối đầu tiên, tức là loại kết nối điều khiển. Việc lựa chọn giữa hai chế độ này do người dùng thực hiện khi thiết lập kết nối dữ liệu.

Vì vậy, sự khác biệt cơ bản là gì?

Sự khác biệt chính giữa chế độ hoạt động chủ động và thụ động của giao thức FTP là ai trong kết nối máy khách-máy chủ thực hiện kết nối để truyền dữ liệu, nghĩa là nói một cách đại khái, ai kết nối với ai. Các cổng mà dữ liệu được truyền tới cũng khác nhau. Ở chế độ hoạt động tích cực, máy khách tạo kết nối điều khiển với máy chủ, nhưng kết nối truyền dữ liệu được thực hiện bởi chính máy chủ. Ở chế độ thụ động, kết nối dữ liệu cũng như kết nối điều khiển đến máy chủ chỉ được khởi tạo bởi máy khách. Nghĩa là, ở chế độ hoạt động, máy chủ kết nối với máy khách để truyền dữ liệu và ở chế độ thụ động, máy khách kết nối với máy chủ.

Chúng ta hãy nhìn vào các chế độ này rõ ràng hơn.

Sự khác biệt giữa chế độ FTP chủ động và thụ động

Chúng ta hãy xem xét ở định dạng video, chế độ hoạt động thụ động và chủ động của giao thức FTP khác nhau như thế nào.

Ở cả chế độ chủ động và thụ động, việc thiết lập kết nối bắt đầu bằng việc máy khách gửi yêu cầu tới . Đầu tiên, một kết nối điều khiển được thiết lập. Để thực hiện việc này, một cổng tạm thời được tạo trên máy khách với một số trong phạm vi từ 1024 trước 65535 để thiết lập kết nối điều khiển cũng như cổng để truyền dữ liệu. Ở chế độ hoạt động, mọi thứ diễn ra theo thứ tự sau:

1024 —65535 21 .
1036 ).
Máy khách gửi lệnh HẢI CẢNG, cho biết việc sử dụng chế độ FTP đang hoạt động, địa chỉ IP của bạn cũng như số cổng để thiết lập kết nối dữ liệu mà máy chủ sẽ kết nối (trong ví dụ: cổng 1037 ).
Lệnh được xác nhận bởi máy chủ.
Máy khách đưa ra lệnh cho máy chủ hoạt động với FTP.
Máy chủ tạo kết nối dữ liệu. Để làm điều này, anh ta gửi một yêu cầu với 20 cổng tới cổng do khách hàng chỉ định trong đoạn thứ tư ( 1037 ).
Client phản hồi lại yêu cầu.
Máy chủ xác nhận kết nối và cho phép máy khách truyền dữ liệu.

Về mặt sơ đồ, điều này có thể được biểu diễn như sau:

Ở chế độ thụ động, quy trình thiết lập kết nối dữ liệu hơi khác một chút. Các hành động diễn ra như sau:

Máy khách gửi từ một cổng tạm thời có phạm vi 1024 —65535 yêu cầu số cổng máy chủ 21 .
Máy chủ phản hồi cổng tạm thời của máy khách (trong ví dụ: cổng 1036 ).
Khách hàng xác nhận kết nối.
Máy khách gửi lệnh PASV, nói về việc sử dụng chế độ FTP thụ động.
Máy chủ xác nhận hoạt động ở chế độ thụ động, gửi địa chỉ IP của nó cũng như số cổng để thiết lập kết nối dữ liệu mà máy khách sẽ kết nối (trong ví dụ 2154 ).
Từ cổng dữ liệu (trong ví dụ 1037 ) máy khách gửi yêu cầu thiết lập kết nối đến cổng do máy chủ cấp ( 2154 ).
Máy chủ xác nhận kết nối.
Client thiết lập kết nối.
Máy khách đưa ra lệnh cho máy chủ (từ cổng điều khiển đến cổng 21 , trong ví dụ - từ cổng 1036 mỗi cổng 21 ), sau đó có thể truyền dữ liệu.

Hãy tưởng tượng điều này trong một sơ đồ:

Chế độ thụ động an toàn hơn cho khách hàng. Bạn nên sử dụng nó nếu bạn đã cấu hình Tường lửa. Sử dụng chế độ FTP hoạt động thông qua Tường lửa có thể dẫn đến lỗi do Tường lửa sẽ không cho phép máy chủ kết nối với máy khách. Vì vậy, nên sử dụng chế độ FTP thụ động để truyền dữ liệu để tránh những lỗi như vậy.