两权分立的FTP工作模式.doc

　　两权分立的FTP工作模式 　　两权分立的FTP工作模式 　　工作环境： 　　ADSL---（50）NAT（）-----PC（/FTPSERVER） 　　1、映射21端口到PC，PC安装FTP服务serv-u，用serv-u是因为他可以方便的设置FTP的两种工作模 　　式。外网发起连接为例。 　　PORT方式能连接，不能列目录 　　PASV方式能连接，不能列目录 　　分析：FTP支持两种模式。这两种模式被称为标准（或PORT，或主动）和被动（或 　　PASV）。标准模式FTP客户端会向FTP服务器发送PORT命令。被动模式客户端会向 　　FTP服务器发送PASV命令。这些命令是在建立FTP会话时通过FTP命令通道进行发送的。 　　2种模式FTP客户端都要建立一个到FTP服务器上TCP端口21的连接。客户选择大于 　　1024的端口发起连接，此连接会建立FTP命令通道。不能列目录是因为FTP使用不同的通道来传递 　　数据，这也是FTP不同于HTTP服务的地方，HTTP需要一条通道就可以了 　　2、再映射20端口到PC，serv-u默认的方式就是PORT方式。 　　PORT方式能连接、也能列目录、能下载文件 　　PASV方式能连接、不能列目录下载文件 　　分析：PORT方式：当FTP客户端需要接收数据（如文件夹列表或者文件）时，客户端就会通过 　　FTP命令通道发送PORT命令。此PORT命令包含了FTP客户端在哪个端口（比如3328）上接收数 　　据的相关信息。接下来，PC从TCP端口20发起到3328用户端口的连接，而这是一个新的连接， 　　也许客户端防火墙会拦截。可以看出是服务器用20端口主动连接客户指定的端口，所以PORT方 　　式也叫主动方式。该模式下有2个特点： 　　1客户是动态的端口，而服务器使用的是固定端口20，而且是服务器发起主动新连接。 　　2在FTP客户连接服务器的整个过程中，控制信道是一直保持连接的，而数据传输通道是临时建立的。 　　PASV方式不能到达是因为PASV要求服务器用动态的端口来连接，而这个端口一般在1024-5000之间，而且是用户发起连接，虽然PC开了此端口等待连接，但是NAT并没有映射这么多端口，所以通讯中断。 　　3关闭20端口映射，再映射10001-10004到PC 　　PORT方式能连接、不能列目录、不能下载文件 　　PASV方式能连接、不能列目录、不能下载文件 　　serv-u真的很帅，在设置（高级）选项中设置10001-10004，然后启动被动模式，这样就可以建立连接了。 　　分析： 　　朗月繁星也做过这个实验，实验的过程和分析被微软收录到微软的官方网站上，不过通过我的 　　实验，发现他有个理解不全面的的地方，原因是他直接在可以见面的2台计算机上做的实验，而我 　　把他们用NAT分开来做，更能看出问题。 　　问题出在所谓的协商过程 　　原文是这样的： 　　发送PASV指令，在这个指令中，用户告诉服务器自己要连接服务器的某一个端口，如果这个服务 　　器上的这个端口是空闲的可用的，那么服务器会返回ACK的确认信息，之后数据传输通道被建立并 　　返回用户所要的信息（根据用户发送的指令，如ls、dir、get等）；如果服务器的这个端口被另一 　　个资源所使用，那么服务器返回UNACK的信息，那么这时，FTP客户会再次发送PASV命令，这也就是 　　所谓的连接建立的协商过程 　　其实我抓到的报文是这样的： 　　1serv-u在设置PASV方式是可以指定端口，而且端口被立即启动到监听状态，比如我设置是10001 　　-10004，可以用有关软件看到这些端口已经被置为监听。 　　2当客户端通过该命令通道发送PASV命令时，FTP服务器会打开一个短暂的端口，并通知FTP客 　　户端从该端口请求数据传输，而不是协商解决。FTP服务器通过将该短暂端口用作，数据传输的源 　　端口来对该请求作出响应。显然，这个连接是由用户发起的，过也叫被动方式。 　　3在FTP客户连接服务器的整个过程中，控制信道是一直保持连接的，而数据传输通道是临时建立的。 　　4端口在1024-5000之间，不要大于5000，为什么呀，我也不知道，因为我设置5000以上就不能 　　建立TCP连接，实际是这样理论我也不知道。 　　我没有用其它软件做FTP服务器，不能确定是否有协商过程，如果FTP这么弱智，那要协商到什么时候，不如直接告诉客户不就行了。 　　缺点是端口有限，如果多个用户同时连接，这几个端口是不够的。 　　4解决PASV问题的办法： 　　不能传数据的问题出在：服务器向客户端传送了IP。当FTP客户端登录进入服务器的时候，PASV模 　　式服务器