Понять FTP; Активный / пассивный с брандмауэрами и NAT

У меня есть некоторые основные вопросы о FTP с брандмауэрами и NAT, я надеюсь, что кто-то может мне помочь:)

Я разделил их по разным сценариям:

Активный FTP без NAT

Настроить:

Сервер 1.2.3.4, Порты по умолчанию; Клиент 1.2.3.5, порты: 3141 (cmd), 3142 (данные)

Клиент: 3141 подключается к Серверу:20

Сервер:20 ответов клиенту: 3141

Сервер: 21 подключается к клиенту: 3142

Как это обычно решается на практике? Я могу думать о следующих возможностях:

• Клиентский брандмауэр помнит, что было соединение с командой FTP и поэтому открывает порт 3142
• Клиентский брандмауэр помнит, что было соединение с командой FTP, и поэтому разрешает все соединения с 1.2.3.4:21 до 1.2.3.5:3142.
• Клиентский брандмауэр разрешает все соединения от xxxx: 21 до 1.2.3.5:3142

Я предполагал, что во всех этих решениях клиент всегда будет использовать два последовательных порта - это правда?

Активный FTP с NAT

Настроить:

Сервер 1.2.3.4 порты по умолчанию; Клиент 192.168.0.2, порты 3141, 3142; Маршрутизатор, 1.2.3.5 и 192.168.0.1

Клиент: 3141 подключается к 1.2.3.4:20 через 192.168.0.1

Сервер:20 ответов на 1.2.3.5:ARBITRARY - доставлено на 192.168.0.2:3141, так как есть SNAT

Сервер: 21 подключается к 1.2.3.5:(ARBITRARY+1) - откуда маршрутизатор знает, кому этот пакет принадлежит?

Пассивный FTP с NAT

Сервер находится за маршрутизатором - откуда маршрутизатор узнает, что пакет, получаемый через произвольный порт, предназначен для FTP-сервера? (и, следовательно, как маршрутизатор узнает, что нельзя отбросить этот пакет)

И почему Passive FTP использует произвольный порт на сайте сервера для подключения к данным? Почему не порт 21?

Я надеюсь, что вы понимаете мои вопросы, и кто-то может мне помочь:)

Спасибо