FTP 主动模式和被动模式的区别

# FTP 主动模式和被动模式的区别

## FTP主动模式

主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N>1024）连接到FTP服务器的21端口。然后客户端开始监听端口N+1，并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1）。

流程：

1.**客户端:N  >>>  服务器:21**

2.客户端:N  <<<  服务器:21

3.**客户端:N+1 <<< 服务器:20**（服务器主动往客户端传数据）

4.客户端:N+1 >>> 服务器:20

![image-20220705152721100](https://tqls-mrdoc.oss-cn-beijing.aliyuncs.com/mr-doc/image-20220705152721100.png)

由此可见 在安全组出栈都开放时，想使用主动模式 **客户端需要放行N+1端口的入栈规则**，**服务器需要放行21端口的入栈规则**

不难看出 因为客户端放行的是N+1端口，是个随机端口，主动模式对客户端的管理不友好

## FTP被动模式

为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当**客户端通知服务器它处于被动模式时才启用。**

当开启一个 FTP连接时，客户端打开两个任意的非特权本地端口（N > 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P > 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

流程：

1.**客户端:N  >>>  服务器:21**

2.客户端:N  <<<  服务器:21 （服务器会在里开启一个随机端口P（P>1024）发送给客户端）

3.**客户端:N+1 >>> 服务器:P**（服务器被动收客户端数据）

4.客户端:N+1 <<< 服务器:P

![image-20220705152733920](https://tqls-mrdoc.oss-cn-beijing.aliyuncs.com/mr-doc/image-20220705152733920.png)

上面可以看出 被动模式都是客户端主动连接服务端的

所以在安全组出栈都开放的网络环境中，想使用被动模式 **客户端不需放行任何入栈规则**，**服务器需要放行21端口和随机端口P的入栈规则**

在被动模式中服务端要开放随机端口P ，所以对服务端管理比较麻烦。

好在服务端的随机端口P可以指定范围，只用在安全组中放行已经确定的范围就好了

```shell

# 开启被动模式
pasv_enable=YES
# 被动模式最小端口
pasv_min_port=6000
# 被动模式最大端口
pasv_max_port=7000
```

![image-20220705152827766](https://tqls-mrdoc.oss-cn-beijing.aliyuncs.com/mr-doc/image-20220705152827766.png)