Теория FTP - Управление брандмауэром на стороне клиента
Сценарий :
1 сервер ftp, который работает в пассивном режиме (диапазон включенных и зарезервированных портов от 5000 до 6000)
1 клиент FTP, который пытается подключиться к серверу FTP выше в пассивном режиме.
должен ли клиент открывать порты от 5000 до 6000 на своем брандмауэре?
Я пытался понять эту часть, и я видел много разных статей о пассивном и активном режиме, но я не понимаю этого поведения.
1 ответ
При пассивном FTP и управляющее соединение (по умолчанию для порта 21), и соединение для передачи данных (к порту PASV, указанному сервером FTP) инициируются клиентом FTP. Обычно брандмауэры, которые позволяют своим пользователям устанавливать FTP-соединение с удаленным сервером, также позволяют клиенту устанавливать это связанное соединение для передачи данных.
Многие крупные сайты вообще не позволяют своим пользователям напрямую подключаться к Интернету и требуют использования прокси-сервера для всего трафика. Диапазон пассивного порта может или не может быть проблемой для этих пользователей...
Более необычной является установка, в которой пользователям разрешено подключаться к Интернету напрямую, но только к ограниченному количеству портов, например, 80 и 443 для веб-трафика, а другие порты по умолчанию заблокированы.
В этом сценарии любой слегка продвинутый брандмауэр может быть настроен для разрешения протокола FTP и будет загружать определенный вспомогательный модуль. Брандмауэр открывает порт 21 для управляющих подключений FTP и проверяет управляющий трафик для порта PASV, назначенного клиенту FTP. Динамически этот пассивный порт будет открыт в брандмауэре, позволяя установить соединение для передачи данных (но только между этим клиентом и этим конкретным портом на этом конкретном FTP-сервере), и это разрешение будет отменено, когда разорвано управляющее соединение.