Назад | Перейти на главную страницу

Теория FTP - Управление брандмауэром на стороне клиента

сценарий:

1 ftp-сервер, работающий в пассивном режиме (диапазон включенных и зарезервированных портов от 5000 до 6000)

1 клиент ftp, который пытается подключиться к серверу ftp выше в пассивном режиме.

должен ли клиент открывать порты с 5000 по 6000 на своем брандмауэре?

Я пытался понять эту часть и видел много разных статей о пассивном и активном режимах, но я не понимаю этого поведения.

При пассивном FTP и управляющее соединение (по умолчанию на порту 21), и соединение для передачи данных (к порту PASV, указанному FTP-сервером) инициируются FTP-клиентом. Обычно брандмауэры, которые позволяют своим пользователям устанавливать FTP-соединение с удаленным сервером, также позволяют клиенту установить это связанное соединение для передачи данных.

Многие крупные сайты вообще не позволяют своим пользователям напрямую подключаться к Интернету и требуют использования прокси-сервера для всего трафика. Диапазон пассивных портов может быть или не быть проблемой для этих пользователей ...

Более необычной является конфигурация, в которой пользователям разрешено подключаться к Интернету напрямую, но только к ограниченному количеству портов, например 80 и 443 для веб-трафика и другие порты по умолчанию заблокированы.
В этом сценарии любой слегка продвинутый брандмауэр может быть настроен для разрешения протокола FTP и будет загружать определенный вспомогательный модуль. Брандмауэр открывает порт 21 для управляющих соединений FTP и проверяет управляющий трафик для порта PASV, назначенного FTP-клиенту. Этот пассивный порт будет динамически открыт в брандмауэре, позволяя установить соединение для передачи данных (но только между этим клиентом и этим конкретным портом на этом конкретном FTP-сервере), и это разрешение будет отозвано при разрыве контрольного соединения.