ftp模式active、passive防火墙设置

haohaohao

ftp的模式分为active、passive，这是针对数据传输过程而言的，控制过程肯定必须是客户端主动向服务器控制端口发起的，这一点要记清楚。

服务器运行在active模式时，客户端必须用active模式去连接
服务器运行在passive模式时，客户端必须用passive模式去连接

（有的ftp服务器可以智能的去适应客户端模式，当客户端发起active模式时，服务器以active模式传数据，当客户端发起passive模式时，服务器以passive模式传数据）

防火墙相关设置：

ftp涉及2个端口：一个控制端口，一个数据端口。

一、不管是active还是passive模式，前提：必须放通 客户端any ---> 服务器 的控制端口

二、active模式的如何放行数据端口：

ftp服务器工作在active模式时，服务器的默认端口：21控制端口、20数据端口

1）控制端口使用默认21时，如果防火墙上默认配置了ftp检测功能（Cisco 在police-map中，配置inspect ftp，华为在zone中detect ftp，H3C 在aspf policy中detect ftp），防火墙只须放通 客户端any ---> 服务器21端口 即可（此时防火墙会自动放行 服务器20端口 ---> 客户端any的通信）；如果防火墙没有配置ftp检测功能，需要手工放行 服务器20端口 ---> 客户端any。

2）服务器将控制端口修改为端口A时，防火墙需要放行 客户端any ---> 服务端口A。无论防火墙是否开启了ftp检测功能，都必须放行 服务器20端口 ---> 客户端any（此时防火墙ftp检测功能是不能生效的，因为防火墙没有检测到端口21的流量）。

3）特殊情况：部分ftp服务器虽然控制端口使用默认21，但是数据端口不是20，而是随机的，此时必须根据抓包实际分析服务器的数据端口范围，防火墙放通： 客户端any ---> 服务器21和 服务器（数据端口范围） ---> 客户端any。

（总结一句话，客户端any连服务器控制端口，服务器数据端口连客户端any）

三、passive模式如何放行数据端口：

1）前提：防火墙放通 客户端any ---> 服务器控制端口

2）防火墙放通 客户端any ---> 服务器(数据端口范围)

any端口：部分客户端软件支持设置一个端口范围，如果不支持，建议配置成 1024 - 65535；数据端口范围：这个在服务器上配置的，如果不知道，可以也配置为1024 - 65535。

（总结一句话：客户端any连服务器控制端口，客户端any连服务器数据端口）

hechun

谢谢分享