File Transfer Protocol, prvi put standardiziran ranih 1970-ih, protokol je aplikacijskog sloja koji koristi TCP transportni protokol za prijenos podataka. FTP je razvijen u vrijeme kada su klijenti i poslužitelji međusobno komunicirali izravno, bez posrednika i uz minimalne barijere.
FTP problemi u modernim mrežama
Na modernim mrežama (NAT, firewall, load balancer), sljedeće značajke FTP-a ne dopuštaju mu da ispravno radi:
- Dvije odvojene TCP/IP veze: za prijenos podataka i za prijenos naredbi;
- Podatkovna veza može se uspostaviti na slučajnom broju porta;
- Podatkovna veza može doći od poslužitelja do klijenta ili od klijenta do poslužitelja;
- Odredišna adresa podatkovne veze (odabir načina rada) dogovara se u hodu između klijenta i poslužitelja putem naredbene veze;
- Komandna veza je u stanju mirovanja dok se podaci prenose kroz podatkovnu vezu.
Problem 1 je uzrokovan činjenicom da uređaj za usmjeravanje ili balanser mora održavati dvije veze između istog izvora i odredišta.
Problem 2 je uzrokovan činjenicom da FTP ne može raditi ako su dolazni portovi strogo ograničeni samo na sigurno poznate. Oni. U normalnom načinu rada FTP ne može raditi samo s otvorenim 21 dolaznim portom koji veza koristi za slanje naredbi, također mu je potreban skup otvorenih portova visoke vrijednosti (49152-65534) za prijenos podataka.
Problem 4 je uzrokovan činjenicom da pri korištenju NAT-a treba u hodu mijenjati sadržaj konekcionih paketa za prijenos naredbi tako da se interna adresa poslužitelja zamijeni eksternom, a također preusmjerava pakete koji stižu na eksterni adresa na internu adresu poslužitelja.
Problem 5 je uzrokovan činjenicom da uređaji za usmjeravanje mogu prekinuti zaglavljene veze za slanje naredbi.
Dva načina prijenosa podataka u FTP-u
FTP podržava dva načina rada: aktivni i pasivni. Razlikuju se u mehanizmu uspostavljanja veze za prijenos podataka:
- U aktivnom načinu rada poslužitelj se povezuje sa svog 20. priključka na navedeni port klijenta.
- U pasivnom načinu rada, klijent se povezuje sa svog slučajnog porta na određeni port poslužitelja.
Dakle, svi moderni FTP klijenti pregovaraju s poslužiteljem s kojeg se podaci prenose i koji inicira vezu. Namjenu može odrediti naručitelj aktivni način rada slanjem naredbe "PORT", koja će reći poslužitelju da se spoji na određeni IP i port klijenta i počne slati podatke. Ili klijent može koristiti pasivni način rada slanjem naredbe “PASV” poslužitelju, koja će reći poslužitelju da klijent čeka IP i port poslužitelja za početak primanja podataka.
Budući da se klijent inicijalno spaja na poslužitelj kako bi uspostavio vezu za slanje naredbi, logično bi bilo da klijent uspostavi i podatkovnu vezu, tj. je slao PASV naredbu (dok je također popravljao problem između FTP-a i vatrozida). Međutim, to nije slučaj; iz nekog razloga tvorci FTP specifikacije odlučili su da preferirani način rada bude PORT, a PASV podrška na strani klijenta nije ni potrebna.
FTP podržava pristup prijavom i lozinkom, ali nije siguran jer... prenose se jasnim tekstom. Kada koristite web preglednik, možete ga proslijediti izravno na URL.
Ftp://
Primjer sesija koje koriste aktivne i pasivne načine prijenosa podataka
Primjer aktivnog načina rada, gdje se klijent povezuje anonimno i vrši jedan aktivni prijenos podataka (pregledavanje imenika).
| Klijent: | KORISNIK anoniman | |
| poslužitelj: | ||
| Klijent: | PASS NcFTP@ | |
| poslužitelj: | 230 Prijavljeno anonimno. | |
| Klijent: | LUKA 192,168,1,2,7,138 | Klijent želi da se poslužitelj poveže na port 1930 i IP adresu 192.168.1.2. |
| poslužitelj: | 200 PORT naredba uspjela. | |
| Klijent: | POPIS | |
| poslužitelj: | 150 Otvaranje ASCII podatkovne veze za /bin/ls. | Poslužitelj se povezuje s porta 21 na port 1930 i IP adrese 192.168.1.2. |
| poslužitelj: | 226 Popis dovršen. | Podaci su uspješno preneseni. |
| Klijent: | PRESTATI | |
| poslužitelj: | 221 Zbogom. |
Primjer pasivnog načina rada
| Klijent: | KORISNIK anoniman | |
| poslužitelj: | 331 Prijava gosta ok, pošaljite svoju e-mail adresu kao lozinku. | |
| Klijent: | PASS NcFTP@ | |
| poslužitelj: | 230 Prijavljeno anonimno. | |
| Klijent: | PASV | Klijent traži informacije o vezi od poslužitelja. |
| poslužitelj: | 227 Ulazak u pasivni način rada (172,16,3,4,204,173) |
Poslužitelj odgovara klijentu da se treba spojiti na port 52397 i IP adresu 172.16.3.4. |
| Klijent: | POPIS | |
| poslužitelj: | 150 Podatkovna veza prihvaćena od 172.16.3.4:52397; početak prijenosa. |
Klijent se spojio na poslužitelj na portu 52397 i IP adresi 172.16.3.4. |
| poslužitelj: | 226 Popis dovršen. | Podaci su uspješno preneseni. |
| Klijent: | PRESTATI | |
| poslužitelj: | 221 Zbogom. |
Privatni problemi:
PORT mod - FTP klijent iza NAT-a ili vatrozida
Najveći problem s kojim se susreću FTP klijenti koji koriste aktivni način rada je da se sam poslužitelj mora spojiti na klijentovu IP adresu. Ako se na njegovom putu nalazi vatrozid koji prekida sve dolazne veze, FTP sesija se neće održati. Drugi problem je ako je klijent iza NAT-a i koristi internu IP adresu. Priopćavanjem svoje interne adrese poslužitelju, klijent ga osuđuje na nemogućnost povezivanja.
Rješenje 1: FTP klijent mora biti konfiguriran za korištenje pasivnog načina rada.
Rješenje 2: Konfigurirajte NAT za praćenje FTP veza. Kada klijent koristi aktivni način rada, NAT uređaj mora prepisati internu adresu klijenta i zamijeniti je vanjskom adresom uređaja. Zatim će veza za prijenos podataka s FTP poslužitelja, koja je stigla na vanjsku NAT adresu uređaja, biti proslijeđena na internu adresu FTP klijenta iza NAT-a.
PASV način - FTP poslužitelj iza vatrozida
Kada je FTP poslužitelj iza vatrozida, klijenti će imati problema s korištenjem pasivnog načina za povezivanje na prolazni port FTP poslužitelja. Najčešći problem je kada vatrozid iza kojeg se nalazi FTP poslužitelj dopušta samo određeni broj veza na poznate portove, a druge blokira.
Rješenje 1: Administrator može otvoriti grupu portova na vatrozidu kroz koje se mogu uspostaviti veze s FTP poslužiteljem.
Rješenje 2: Ako postoji podrška vatrozida, administrator može konfigurirati portove za automatsko otvaranje za uspostavljanje pasivne veze s FTP poslužiteljem. Ovo postavljanje je slično onome što je opisano za aktivnog klijenta iza NAT-a. Dakle, kada vatrozid prati odgovor FTP poslužitelja na zahtjev pasivnog klijenta, on privremeno otvara port naveden u odgovoru, i to samo za IP s kojeg je pasivni zahtjev potekao.
PASV način - FTP poslužitelj iza NAT-a
U PASV FTP modu, poslužitelj odgovara klijentu svojom internom IP adresom i portom, što osuđuje klijenta na nemogućnost povezivanja.
Rješenje 1: Konfigurirajte NAT za nadzor FTP podatkovnih veza. Kada poslužitelj pošalje odgovor u pasivnom načinu rada, NAT uređaj mora prepisati internu adresu poslužitelja i zamijeniti je vanjskom adresom uređaja. Tada će veza za prijenos podataka s FTP klijenta, koja je stigla na vanjsku NAT adresu uređaja, biti proslijeđena od strane njega na internu adresu FTP poslužitelja iza NAT-a.
PASV način - FTP poslužitelj iza balansera opterećenja
Balancer predstavlja jednu IP adresu, veza na koju će biti preusmjerena na jedan od uravnoteženih poslužitelja. Balancer predstavlja dva problema za FTP. Prvi se javlja zbog činjenice da je između FTP poslužitelja i klijenta uspostavljeno nekoliko veza: jedna za prijenos naredbi i jedna ili više za prijenos podataka. U pasivnom načinu rada, balanser mora preusmjeriti podatkovnu vezu na isti poslužitelj kao i naredbena veza. Drugi problem je posljedica prvog: kada FTP poslužitelj odgovori pasivnim odgovorom, taj odgovor će sadržavati internu adresu FTP servera, a ne vanjsku adresu balansera.
Rješenje 1. Dodijelite svakom FTP poslužitelju iza balansera legitimnu IP adresu dostupnu izvana. U tom će slučaju FTP poslužitelj moći samostalno opsluživati FTP klijente u pasivnom načinu rada, zaobilazeći balanser.
Rješenje 2: Konfigurirajte balanser za nadzor FTP veza za prijenos podataka. Kada poslužitelj pošalje odgovor u pasivnom načinu rada, balanser mora prepisati internu adresu poslužitelja i zamijeniti je vanjskom adresom balansera. Tada će veza za prijenos podataka s FTP klijenta, koja je stigla na vanjsku adresu balansera, biti proslijeđena od strane njega na internu adresu FTP poslužitelja iza balansera.
Rješenje 3: Konfigurirajte FTP poslužitelj tako da njegovi odgovori u pasivnom načinu rada sadrže vanjsku adresu balansera, a ne poslužitelja, i nadajte se da će balanser preusmjeriti vezu na poslužitelj koji čeka.
Nerješiv problem - vatrozidi na obje strane
Kada su i klijent i poslužitelj iza vatrozida koji ograničavaju sve dolazne veze osim na grupu poznatih portova, počinju problemi. Klijent ne može koristiti aktivni način jer poslužitelj se neće moći spojiti na njega i ne može koristiti pasivni način rada jer ne može se spojiti na FTP poslužitelj.
U tom slučaju trebate promijeniti postavke vatrozida i bolje je to učiniti na strani poslužitelja.
FTP poslužitelj na nestandardnom priključku
Neki uređaji za usmjeravanje mogu obraditi FTP sesije samo ako stignu na standardni port poslužitelja. Stoga, ako FTP poslužitelj sluša na nestandardnom priključku, morate konfigurirati uređaj za usmjeravanje tako da zna da se iza ovog priključka nalazi FTP poslužitelj i ispravno obrađuje veze.
Ali čak i tada, vatrozid na strani klijenta može stati na put. To se može dogoditi ako vatrozid na strani klijenta strogo zahtijeva da FTP podatkovna veza s FTP poslužitelja potječe s priključka 20 (u aktivnom načinu). Ako FTP poslužitelj radi na portu N, tada će prema FTP specifikaciji njegove podatkovne veze potjecati s porta N - 1 i blokirat će ih klijentov vatrozid.
Problemi uzrokovani vatrozidom koji prerano prekida FTP sesije
Ovaj se problem najčešće javlja prilikom prijenosa velike datoteke. Nakon što se dogovore parametri povezivanja i započne prijenos, naredbena veza počet će biti u stanju mirovanja dok prijenos datoteke ne završi. Ako uređaj za usmjeravanje nije svjestan FTP-a i prijenos datoteke traje dulje od brojača aktivnosti veze na njemu, veza će sa stajališta uređaja za usmjeravanje isteći i prekinuti se, a dolazni paketi će biti odbačeni.
Rješenje ovog problema je uređaj koji održava vezu za prijenos naredbi u aktivnom stanju, iako preko nje već dugo nisu poslani paketi. Druga opcija je omogućiti funkciju “Keep Alive” u nizu TCP/IP protokola na strani klijenta ili poslužitelja, koja u određenim intervalima šalje paket provjere dostupnosti, a ako odredišna strana ne odgovori, normalno zatvara vezu. Ako strana primatelja odgovori, veza sa strane vatrozida smatrat će se aktivnom.
- Koristite pasivni način kad god je to moguće (ovo je zadano u web preglednicima)
- Ako je veza s FTP poslužiteljem bila uspješna, ali pregledavanje direktorija ili prijenos datoteka završava neuspjehom veze, najvjerojatnije je problem u mjeračima vremena veze na vatrozidu
- Koristite uređaje koji podržavaju FTP značajke
FTP (File Transfer Protocol) jedan je od najarhaičnijih protokola za prijenos podataka. Nastao je prije HTTP-a prije više od 40 godina. Međutim, tehnologija "FTP klijent-poslužitelj" i "poslužitelj-poslužitelj", jednostavna za korištenje i ne zahtijeva posebno održavanje, još uvijek služi kao pouzdano sredstvo za sistematizaciju internog protoka dokumenata, stvaranje višekorisničkih arhiva u lokalnim korporativnim mrežama i slobodnu distribuciju softver, multimedija, dokumenti i materijali na World Wide Webu.
FTP poslužitelj može se postaviti na bilo koji mrežni uređaj s diskovnim nizom za pohranu velike količine informacija ili na obično računalo. Prilikom spajanja na server razmjenjuju se kontrolne naredbe, pri čemu dolazi do autorizacije (ako postoji), dodjele portova, definiranja pravila razmjene, a zatim se uspostavlja veza za prijenos podataka. Ostavimo po strani teorijske osnove interakcije poslužitelja i lokalnog računala putem FTP protokola. Ovaj proces se provodi u jednom od dva načina: aktivnom i pasivnom. Koje su njihove razlike? U aktivnom načinu rada klijent šalje zahtjeve za povezivanje poslužitelju, a poslužitelj uspostavlja vezu. U pasivnom načinu rada i upravljačke naredbe i podatkovnu vezu pokreće samo klijent.
Pasivni način rada je neophodan u slučajevima kada se klijentovo računalo nalazi u zaštićenoj lokalnoj mreži. Većina preglednika podržava FTP protokol i omogućuje vam povezivanje, pregled i kopiranje podataka s udaljenih poslužitelja. Dakle, u Internet Exploreru možete unijeti ftp:// u adresnu traku “IP adresa poslužitelja” ili koristiti FileSearch za pronalaženje poveznica na najpopularnija spremišta datoteka. Na kartici / “Internet Options / Advanced” / možete omogućiti korištenje pasivnog FTP načina.
U pregledniku Mozilla Firefox nisu potrebne posebne postavke. “Total Comander” i “Far” imaju ugrađen FTP klijent. Ovdje, prilikom stvaranja nove veze, morate dodatno navesti prijavu i lozinku. Za otvorene poslužitelje, zadana prijava je "anonimno", a lozinka je adresa vašeg poštanskog sandučića.
Svi poznati “skidači” od FlashGeta (prema zadanim postavkama pasivni način rada) do ReGet Deluxe (prema zadanim postavkama aktivni način rada) imaju sustav za automatsko otkrivanje veze i scenarije preuzimanja, a također su opremljeni raznim dodatnim akceleratorima za ubrzavanje procesa preuzimanja. Obično možete omogućiti ili onemogućiti pasivni način rada kada stvarate novu vezu na FTP karticama.
Za klijente koji rade u načinu dijeljenja datoteka stalno ili prilično često, potrebno je instalirati FTP manager. Ovo je program iz serije FileZilla, CuteFTP, SmartFTP, FTP Voyager itd. , koji se može naći i javno dostupan na internetu. Ovi vam programi omogućuju fino podešavanje veze s udaljenim FTP poslužiteljem. Nezamjenjivi su u slučajevima rada s poslužiteljima koji rade samo u “aktivnom modu”, jer čak i ako klijent nema statičku IP adresu, program je može emulirati za vrijeme trajanja sesije.
Među korisnicima koji govore ruski, najpopularniji besplatni program otvorenog koda je FileZilla. Ovaj program je jednostavan za instalaciju i ima jasno rusko sučelje. Možete koristiti nekoliko opcija za konfiguriranje veza. Opće postavke - Izbornik/Uredi/Postavke/. izrađeni su u obliku stabla i utječu na postavke svih dostupnih modula. U istom odjeljku izbornika možete se prebaciti na čarobnjak za kreiranje veze, gdje će se parametri veze nuditi korak po korak pri odabiru aktivnog ili pasivnog načina rada. Neki FTP poslužitelji nude preuzimanje malih datoteka skripte povezivanja koje se mogu uvesti u program i stvoriti gotovu stalnu vezu.
I na kraju, među konzolnim naredbama Windows OS-a podržana je naredba ftp.exe koja pruža mogućnost “ručnog” povezivanja na FTP poslužitelj unosom konzolnih naredbi (protokol podržava 25 naredbi). Korištenje i sintaksa unosa ovih naredbi moraju se dobro poznavati i razumjeti, ali će zahtijevati određene programerske vještine i iskustvo.
Pri radu pomoću FTP protokola između klijenta i poslužitelja uspostavljaju se dvije veze - kontrolna (preko nje se šalju naredbe) i podatkovna (preko nje se prenose datoteke).
Upravljačka veza je ista za Aktivan I Pasivno način rada. Klijent inicira TCP vezu s dinamičkog porta (1024-65535) na port broj 21 na FTP poslužitelju i kaže “Hello! Želim se povezati s tobom. Evo mog imena i lozinke." Daljnje radnje ovise o tome koji je FTP način (aktivan ili pasivan) odabran.
U aktivnom načinu rada kada klijent kaže "Zdravo!" također govori poslužitelju broj priključka (iz dinamičkog raspona 1024-65535) tako da se poslužitelj može povezati s klijentom i uspostaviti podatkovnu vezu. FTP poslužitelj povezuje se s navedenim brojem porta klijenta koristeći TCP port broj 20 za prijenos podataka.
U pasivnom načinu rada, nakon što klijent kaže “Hello!”, poslužitelj govori klijentu broj TCP porta (iz dinamičkog raspona 1024-65535) na koji se može spojiti radi uspostavljanja podatkovne veze.
Glavna razlika između aktivnog FTP načina i pasivnog FTP načina je strana koja otvara podatkovnu vezu. U aktivnom načinu rada klijent mora prihvatiti vezu s FTP poslužitelja. U pasivnom načinu rada, klijent uvijek inicira vezu.
Osnovne naredbe
ABOR - Prekid prijenosa datotekeCDUP - Promjena direktorija na viši.
CWD - Promjena imenika.
DELE - Brisanje datoteke (DELE naziv datoteke).
EPSV - Uđite u prošireni pasivni način rada. Koristi se umjesto PASV-a.
POMOĆ - Prikazuje popis naredbi koje prihvaća poslužitelj.
POPIS — Vraća popis datoteka u direktoriju. Popis se šalje putem podatkovne veze.
MDTM - Vraća vrijeme izmjene datoteke.
MKD - Kreirajte imenik.
NLST - Vraća popis datoteka u direktoriju u kraćem formatu od POPISA. Popis se šalje putem podatkovne veze.
NOOP - Prazna operacija
PASV - Uđite u pasivni način rada. Poslužitelj će vam vratiti adresu i port na koji se morate spojiti za prikupljanje podataka. Prijenos će započeti kada se unesu sljedeće naredbe: RETR, LIST, itd.
PORT — Uđite u aktivni način rada. Na primjer PORT 12,34,45,56,78,89. Za razliku od pasivnog načina, poslužitelj se sam povezuje s klijentom za prijenos podataka.
PWD - Vraća trenutni direktorij.
ODUSTATI - Prekinuti vezu
REIN - Ponovno inicijaliziranje veze
RETR - preuzimanje datoteke. RETR-u mora prethoditi naredba PASV ili PORT.
RMD - Ukloni imenik
RNFR i RNTO - Preimenujte datoteku. RNFR - što preimenovati, RNTO - što preimenovati.
SIZE — Vraća veličinu datoteke
STOR - Učitaj datoteku. STOR-u mora prethoditi naredba PASV ili PORT.
SYST - Vraća vrstu sustava (UNIX, WIN, ...)
TYPE — Postavite vrstu prijenosa datoteke (binarni, tekstualni)
KORISNIK — Korisničko ime za prijavu na poslužitelj
Kompletan popis kodova odgovora FTP poslužitelja
100Tražena radnja je pokrenuta, pričekajte sljedeći odgovor prije izvršavanja nove naredbe.110Komentar
120Funkcija će biti implementirana za nnn minuta
125Kanal je otvoren, počela je razmjena podataka
150Status datoteke je ispravan, priprema se otvaranje kanala
200 Naredba je ispravna
202 Naredba nije podržana
211 Status sustava ili odgovor na zahtjev za pomoć
212Status imenika
213 Status datoteke
214 Poruka s objašnjenjem pomoći
215Prikazuje se zajedno s informacijama o sustavu pomoću naredbe SYST
220Servis je spreman za novog korisnika.
221 Uspješan završetak s naredbom quit
225Kanal je formiran, ali nema razmjene informacija
226 Zatvori kanal, razmjena je uspješno završena
227 Prijelaz u pasivni način rada (h1,h2,h3,h4,p1,p2).
228prijelaz u dugi pasivni mod (duga adresa, port).
229 Prijelaz na prošireni pasivni način rada (|||port|).
230Korisnik je autentificiran, nastavi
231Korisnička sesija završila; Usluga je prekinuta.
232 Naredba za završetak sesije je prihvaćena i bit će dovršena kada se završi prijenos datoteke.
250 Zahtjev je bio uspješan
257“STAZA” je stvorena.
331Korisničko ime je ispravno, potrebna lozinka
332 Za prijavu je potrebna provjera autentičnosti
350 Zatražena radnja datoteke zahtijeva više informacija
404 Ovaj udaljeni poslužitelj nije pronađen
421Procedura nije moguća, kanal je zatvoren
425 Otvaranje kanala informacija nije moguće
426 Kanal zatvoren, razmjena prekinuta
434Traženi host nije dostupan
450Tražena funkcija nije implementirana, datoteka nije dostupna, na primjer, zauzeta
451 Lokalna pogreška, operacija prekinuta
452 Greška tijekom pisanja datoteke (nema dovoljno prostora)
500 Sintaktička pogreška, naredba se ne može interpretirati (možda je preduga)
501 Sintaktička pogreška (nevažeći parametar ili argument)
502 Naredba se ne koristi (ilegalni tip MODE)
503 Neuspjeli niz naredbi
504 Naredba nije primjenjiva za ovaj parametar
530Prijava nije uspjela! Potrebna autorizacija (nije prijavljen)
532 Potrebna je provjera autentičnosti za pamćenje datoteke
550Tražena funkcija nije implementirana, datoteka nije dostupna, na primjer, nije pronađena
551Tražena operacija je prekinuta. Nepoznata vrsta stranice.
552Tražena operacija je prekinuta. Nije dodijeljeno dovoljno memorije
553Tražena operacija nije prihvaćena. Nevažeći naziv datoteke.
24.06.2018
Kratica FTP dolazi iz engleskog F ile T prijenos P rotocol (protokol za prijenos datoteka) je protokol aplikacijskog sloja za razmjenu datoteka preko TCP/IP transportnog protokola između dva računala, FTP klijenta i FTP poslužitelja. Ovo je jedan od najstarijih, ali još uvijek aktivno korištenih protokola.
FTP protokol dizajniran je za rješavanje sljedećih problema:
FTP poslužitelj čeka veze od FTP klijenata na TCP portu 21 i nakon uspostavljanja veze prihvaća i obrađuje FTP naredbe, koji su uobičajeni tekstualni nizovi. Naredbe definiraju parametre veze, vrstu podataka koji se prenose i akcije u odnosu na datoteke i direktorije. Nakon dogovora o parametrima prijenosa, jedan od sudionika razmjene ulazi u pasivni način rada, čekajući dolazne veze za kanal razmjene podataka, a drugi uspostavlja vezu s tim priključkom i započinje prijenos. Nakon što je prijenos završen, podatkovna veza se zatvara, ali kontrolna veza ostaje otvorena, što vam omogućuje nastavak FTP sesije i stvaranje nove sesije prijenosa podataka.
Može raditi u aktivnom ili pasivnom načinu rada, što određuje kako se uspostavlja podatkovna veza. Stoga obično nema problema pri otvaranju kontrolne veze. U aktivnom načinu rada klijent počinje osluškivati nasumični port za dolazne podatkovne veze s poslužitelja.
Iz tog razloga uveden je pasivni način rada koji se danas uglavnom koristi. Korištenje pasivnog načina je poželjno jer se najsloženija konfiguracija izvodi samo jednom na strani poslužitelja, od strane iskusnog administratora, umjesto pojedinačno na strani klijenta, od strane neiskusnih korisnika.
FTP protokol se može koristiti ne samo za prijenos podataka između klijenta i poslužitelja, već i između dva poslužitelja. U tom slučaju FTP klijent uspostavlja kontrolnu vezu s oba FTP poslužitelja, prebacuje jedan od njih u pasivni način rada, a drugi u aktivan, stvarajući kanal za prijenos podataka između njih.
FTP klijent je program koji se povezuje s FTP poslužiteljem i izvodi potrebne operacije za pregled sadržaja direktorija poslužitelja i primanje, prijenos i brisanje datoteka ili mapa. Takav program može biti obični preglednik, komponente operativnog sustava ili posebno razvijeni softverski proizvodi, poput popularnog upravitelja preuzimanja. Download Master ili višenamjenski besplatno FileZilla FTP klijent.
Ovi primjeri sesija trebali bi pomoći da stvari budu malo jasnije. Tradicionalno je to port 21 za naredbeni port i port 20 za podatkovni port. Međutim, zabuna počinje kada otkrijemo da, ovisno o načinu rada, podatkovni priključak nije uvijek na priključku.
Poslužitelj će se tada spojiti na klijentov specificirani podatkovni port sa svog lokalnog podatkovnog porta, koji je port. U koraku 3, poslužitelj inicira vezu na svom lokalnom podatkovnom priključku s podatkovnim priključkom koji je ranije naveo klijent. S vatrozida na strani klijenta izgleda kao da vanjski sustav pokreće vezu s internim klijentom - nešto što bi inače bilo blokirano.
FTP protokol razvijen je još u vrijeme kada su klijent i poslužitelj izravno komunicirali, bez ikakvih posrednih transformacija TCP paketa, au standardnom načinu rada pretpostavlja mogućnost stvaranja TCP veze ne samo na inicijativu klijenta, već i na inicijativa poslužitelja s TCP porta 20 na TCP - port klijenta, čiji se broj prenosi tijekom kreiranja podatkovne sesije.
Normalni izlaz poslužitelja prikazan je crnom bojom, dok je korisnički unos podebljan. Postoji nekoliko zanimljivih stvari o ovom dijaloškom okviru. Kao što možete vidjeti u primjeru u nastavku, formatiran je kao niz od šest brojeva odvojenih zarezima. Da biste pronašli stvarni priključak, pomnožite peti oktet s 256, a zatim ukupnom broju dodajte šesti oktet.
U koraku 3, klijent zatim inicira podatkovnu vezu sa svog podatkovnog priključka na navedeni poslužiteljski podatkovni priključak. Najveći problem je potreba za dopuštanjem bilo kakve daljinske veze na veliki broj portova na poslužitelju. Dodatak 1 za više informacija. Drugi problem je podrška i rješavanje problema klijenata koji podržavaju pasivni način rada.
Današnja stvarnost je takva da je takva TCP veza između poslužitelja i klijenta u velikoj većini slučajeva nemoguća, ili vrlo teška za implementaciju zbog činjenice da se u većini slučajeva za povezivanje na Internet koristi tehnologija prevođenja mrežnih adresa. NAT(Network Address Translation) kada klijent nema dostupno mrežno sučelje za stvaranje izravne TCP veze s Interneta. Tipični dijagram standardne internetske veze izgleda ovako:
To može biti dobro ili loše, ovisno o tome za što su konfigurirani poslužitelji i vatrozidi. Ovdje vidimo da je port otvoren na sustavu poslužitelja, a ne na klijentu. Klijent će uspostaviti obje veze s poslužiteljem, ali će jedna od njih imati nasumični visoki port koji će gotovo sigurno biti blokiran vatrozidom na strani poslužitelja.
Konfiguracija mreže za pasivni način rada
Srećom, postoji neka vrsta kompromisa. Dakle, sve osim ovog raspona portova može biti vatrozid na strani poslužitelja. Iako to ne eliminira rizik za poslužitelj, značajno ga smanjuje. U Dodatku 1. U pasivnom načinu rada većina konfiguracijskog opterećenja je na strani poslužitelja. Administrator poslužitelja mora konfigurirati poslužitelj kako je opisano u nastavku.
Internetska veza se ostvaruje putem posebnog uređaja - Usmjerivač(usmjerivač s NAT funkcijom) koji ima najmanje dva mrežna priključka - jedan povezan s mrežom pružatelja usluga, koji ima mrežno sučelje s preusmjerenom IP adresom (tzv. "bijeli IP"), na primjer 212.248.22.144, i priključak s mrežnim sučeljem za povezivanje uređaja lokalne mreže s privatnom IP adresom koja se ne može usmjeravati, na primjer 192.168.1.1 ("sivi IP"). Prilikom stvaranja veza s mrežnih uređaja lokalne mreže na vanjske mrežne čvorove, IP paketi se šalju usmjerivaču, koji izvodi prevođenje adresa i portova tako da adresa pošiljatelja postaje njegova bijela IP adresa. Rezultati prijevoda se spremaju i kada se primi paket odgovora, izvodi se obrnuti prijevod adrese. Time usmjerivač osigurava prosljeđivanje TCP/IP paketa s bilo kojeg uređaja lokalne mreže na vanjske mreže i povratno prosljeđivanje primljenih paketa odgovora. Ali u slučajevima kada se na ulazu mrežnog sučelja povezanog s mrežom pružatelja usluga primi paket koji nije povezan s TCP paketima odgovora, moguće su sljedeće opcije reakcije softvera usmjerivača:
Konfiguracija mreže za aktivni način rada
U aktivnom načinu rada većina konfiguracijskog opterećenja je na strani klijenta. Tako da se poslužitelj može pravilno povezati s klijentom i otvoriti podatkovnu vezu. Pomoću ove dvije komunikacijske veze dva različita načina rada određuju u kojem se smjeru uspostavljaju veze: aktivni način i pasivni način.
Tipični vatrozid koji radi na klijentu vidi ovaj zahtjev za vezu s poslužiteljem kao neželjen i odbacuje pakete, uzrokujući neuspjeh prijenosa datoteka. Prema zadanim postavkama, poslužitelj koristi dostupni port u kratkotrajnom rasponu.
Paket se zanemaruje jer ne postoji mrežna usluga koja bi ga obradila.
Paket prima i obrađuje mrežna usluga samog usmjerivača, ako takva usluga postoji i čeka dolaznu vezu (“listening”) na portu čiji je broj naveden u primljenom paketu.
Paket se prosljeđuje poslužitelju na lokalnoj mreži koji očekuje ovu vrstu dolaznih veza u skladu s pravilima mapiranja portova navedenim u postavkama usmjerivača.
Instalacija i konfiguracija FileZilla FTP poslužitelja
Otvorite administratorski naredbeni redak. Ovaj dokument objašnjava kako koristiti aktivni ili pasivni način rada za povezivanje s poslužiteljem File Transfer Protocol. Tijekom tipične sesije aktivnog načina rada, naredbeni port koristi port 21, a podatkovni port koristi port 21. Međutim, kada koristite pasivni način rada, podatkovni priključak ne koristi ga uvijek.
Konfiguracije prijevoda mrežne adrese blokiraju ovaj zahtjev za povezivanje. Možda ćete također morati otvoriti pasivni raspon portova na vašem vatrozidu. Spremite promjene u konfiguracijsku datoteku. . Pokrenite sljedeće naredbe da omogućite veze kroz raspon pasivnih portova vatrozida vašeg poslužitelja.
Stoga je trenutno glavni način rada pomoću FTP protokola postao takozvani "pasivni način", u kojem se TCP veze ostvaruju samo od klijenta do TCP porta poslužitelja. Aktivni način se koristi u slučajevima kada je moguće povezati TCP s poslužitelja na portove klijenta, na primjer, kada su na istoj lokalnoj mreži. Način FTP veze odabire se posebnim naredbama:
Da bi te promjene bile trajne, morate. Kako bi ove promjene bile trajne, morate dodati pasivne priključke konfiguracijskoj datoteci. Ažuriranja sustava mogu prebrisati ove promjene konfiguracije. . Ovi problemi mogu nalikovati vatrozidu ili drugom problemu veze, čak i ako vatrozid ne postoji.
Dva načina prijenosa podataka u FTP-u
Da biste riješili te probleme, slijedite ove korake: Ovaj će blog odgovoriti na vaše pitanje bez ikakve sumnje. Aktivni način rada je zadani način rada, koji je prije bio jedini. Radi kada se korisnik spoji s bilo kojeg nasumičnog priključka za prijenos datoteke. Ovaj prijenos datoteka povezuje klijenta s portom 21 na poslužitelju. Poslužitelj se povezuje s porta 20 na port klijenta, koji je namijenjen podatkovnom kanalu.
PASV- klijent šalje naredbu za obavljanje razmjene podataka u pasivnom načinu rada. Poslužitelj će vratiti adresu i port na koji se trebate spojiti za primanje ili prijenos podataka. Primjer fragmenta FTP sesije s postavljenim pasivnim načinom rada:
PASSV- naredba za prebacivanje u pasivni način rada koju FTP klijent prenosi FTP poslužitelju
FTP problemi u modernim mrežama
Sada, nakon što je veza uspostavljena, prijenosi datoteka se uspostavljaju preko ovih portova klijenta i poslužitelja. Sada pogledajmo u pasivnom načinu rada. Ova naredba radi kao zahtjev za povezivanje broja porta. Čim klijent primi port, odmah se pokreće druga veza i podaci se šalju. Ovaj postupak radi u tandemu s vatrozidom koji je konfiguriran za korištenje prosljeđivanja priključka za dodatnu sigurnost. Podaci će zatim biti proslijeđeni s porta vatrozida na port poslužitelja.
227 Ulazak u pasivni način (212,248,22,144,195,89)- Odgovor FTP poslužitelja, gdje je 227 šifra odgovora, tekstualna poruka o prelasku u pasivni način rada i u zagradama IP adresa i broj porta koji će se koristiti za kreiranje kanala za prijenos podataka. Adresa i broj porta prikazuju se kao decimalni brojevi odvojeni zarezom. Prva 4 broja su IP adresa (212.248.22.144), preostala 2 broja određuju broj porta, koji se izračunava formulom - prvi broj se množi s 256, a drugi broj se dodaje rezultatu, u ovom primjeru broj priključka je 195 * 256 +89 = 50017
Ovo tjera klijenta izvan izravnog pristupa poslužitelju. To će vam pomoći da ponovno otvorite podatkovnu vezu s klijentom. Klijent će zatim stvoriti podatkovnu vezu s poslužiteljem. Ovo je savjet da se klijenti ne bi trebali oslanjati na zadane vrijednosti jer te vrijednosti nisu sigurne.
Aktivni i pasivni FTP način
Kada se druga strana spoji na signalnu stranu, odvijat će se prijenos podataka. Nakon završetka prijenosa podataka, strana koja je pokrenula prijenos podataka zatvorit će podatkovnu vezu, signalizirajući kraj datoteke. Morate omogućiti pasivni raspon portova u vatrozidu poslužitelja.
PORT Broj porta IP adrese klijenta- klijent šalje naredbu za uspostavljanje sesije u aktivnom načinu rada. IP adresa i broj porta navedeni su u istom formatu kao u prethodnom primjeru, na primjer PORT 212.248.22.144,195,89 Za organizaciju prijenosa podataka, sam poslužitelj se povezuje s klijentom na navedenom portu.
Instalacija i konfiguracija FileZilla FTP poslužitelja.
Instalacijski paket FileZilla Servera za svoju verziju operativnog sustava možete preuzeti na
Nadam se da treba odgovoriti na sve vaše upite. Ako imate još pitanja u vezi s ovim, javite nam. Podatkovna veza uspostavlja se s kratkotrajnog priključka na glavnom računalu poslužitelja na kratkotrajni priključak na glavnom računalu klijenta. U pasivnom načinu, i kontrolne i podatkovne veze uspostavljaju se odlazne kroz vatrozid na Internet. Kontrolna veza Podatkovna veza. . Aktivni način rada je zadani, ali korisnik se obično može prebaciti na pasivni način rada.
Poboljšani pasivni način rada Poboljšani pasivni način rada vrlo je sličan pasivnom načinu rada. Podrška koju koristite ovisi o topologiji vaše mreže. Administrator vatrozida treba dodati statička pravila filtra za pasivni raspon podataka. U tom slučaju trebali biste koristiti napredni pasivni način rada. . Ovi načini se nazivaju standardni i pasivni.
Instalacija poslužitelja se izvodi na standardni način, osim stavke u kojoj birate postavke za upravljačku ploču poslužitelja:
Ovo je glavni alat za upravljanje poslužiteljem putem kojeg se vrše sve potrebne postavke. Prema zadanim postavkama, upravljačka ploča radi na sučelju povratne petlje bez pristupa lozinkom. Ako je potrebno, na primjer, ako je potrebno daljinsko upravljanje FTP poslužiteljem, te se postavke mogu promijeniti.
Konfiguracije vatrozida koje pružaju potpuni pristup svim prolaznim priključcima za neželjene veze mogu se smatrati nezaštićenima. Korištenje makronaredbe je preferirani način za generiranje gore opisanih pravila. Evo nekoliko primjera.
Rješavanje problema dinamičke IP adrese
Poslužitelj radi iza maskiranog pristupnika. Kada se takvi slučajevi dogode, vidjet ćete poruku konzole poput ove. Moje rješenje je dodati sljedeće pravilo. Ako imate problema s vatrozidom, pažljivo pročitajte ovaj odjeljak.
Nakon dovršetka instalacije otvorit će se prozor s pozivnicom za povezivanje s poslužiteljem:
Nakon unosa IP adrese, broja porta i lozinke (ako ste ih naveli tijekom procesa instalacije), otvara se upravljačka ploča FileZilla Servera:
Na vrhu prozora nalaze se glavni izbornik i gumbi upravljačke ploče. Ispod se nalaze dva područja - poruke s informacijama poslužitelja i statističke informacije. Sve u svemu, FTP upravljačka ploča FileZilla Servera vrlo je jednostavna i laka za korištenje. Stavke glavnog izbornika:
Nakon što se veza uspostavi, klijent će se autentificirati na poslužitelju, a zatim će ta veza biti jedan klijent i poslužitelj će međusobno "čavrljati". Ova se veza neće koristiti za prijenos datoteka, a za svaku će se datoteku uspostaviti nova veza za prijenos podataka datoteke. Postoje dva načina za otvaranje ovih novih podatkovnih kanala: aktivni i pasivni.
Poslužitelj će se tada spojiti na ovaj klijentski podatkovni port koristeći svoj vlastiti lokalni podatkovni port, koji je port. Protokol za prijenos datoteka jedan je od najstarijih i najčešće korištenih protokola koji se danas nalaze na internetu. Njegova je svrha siguran prijenos datoteka između računala na mreži bez potrebe da se korisnik izravno prijavi na udaljeni host ili da ima znanja o tome kako koristiti udaljeni sustav. Omogućuje korisnicima pristup datotekama na udaljenim sustavima pomoću standardnog skupa jednostavnih naredbi.
Datoteka- načini rada upravljačke ploče FTP poslužitelja. Sadrži podstavke
- Spojite se na poslužitelj- spojite se na poslužitelj
- Prekini vezu- prekinuti vezu s poslužiteljem
- Prestati- isključivanje upravljačke ploče.
poslužitelj- Upravljanje FTP poslužiteljem. Sadrži podstavke:
- Aktivan- pokretanje/zaustavljanje FTP poslužitelja. Ako je potvrdni okvir označen, FTP poslužitelj se pokreće, ako nije označen, zaustavlja se.
- brava- zabraniti/dopustiti veze s poslužiteljem. Kada je potvrdni okvir označen, nove veze s poslužiteljem su zabranjene.
Više priključaka, više načina
Ovaj port se koristi za izdavanje svih naredbi poslužitelju. Svi podaci zatraženi od poslužitelja vraćaju se klijentu kroz podatkovni priključak. Broj priključka za podatkovne veze i način na koji se podatkovne veze inicijaliziraju razlikuju se ovisno o tome zahtijeva li klijent podatke u aktivnom ili pasivnom načinu rada.
Dolje su navedeni sljedeći načini. Ova konvencija znači da se klijentskom računalu mora dopustiti prihvaćanje veza na bilo kojem priključku. S porastom nesigurnih mreža kao što je Internet, upotreba vatrozida za zaštitu klijentskih strojeva postala je uobičajena.
Uredi- uređivanje postavki. Podstavke:
- postavke- osnovne postavke poslužitelja.
- Korisnici- Korisničke postavke FTP poslužitelja
- grupe- postavke korisničke grupe.
Kao primjer, konfigurirajmo poslužitelj za sljedeće uvjete:
Rješavanje problema dinamičke IP adrese.
Klijent se zatim spaja na ovaj priključak na poslužitelju kako bi preuzeo tražene informacije. Dok pasivni način uklanja probleme s komunikacijom vatrozida na strani klijenta prilikom povezivanja s podacima, može otežati administraciju vatrozida na strani poslužitelja. Ovo također pojednostavljuje proces konfiguriranja pravila vatrozida za poslužitelj. Odjeljak 8 “Postavke mreže”. Ovisno o određenim konfiguracijama mreže, ovaj način mora biti aktivan ili pasivan.
Kao što njihova imena sugeriraju, naredbeni kanal se koristi za prijenos naredbi, kao i odgovora na te naredbe, dok se podatkovni kanal koristi za prijenos podataka. S druge strane, priključak koji ćete koristiti za podatkovnu vezu može se razlikovati ovisno o odabranom načinu prijenosa podataka. Ako odaberete aktivni način rada, podatkovni kanal će obično biti port. Ali ako odaberete pasivni način rada, port koji će se koristiti bit će slučajni port.
Ovaj problem ne zahtijeva rješenje u slučajevima kada se pri povezivanju s internetom koristi statička IP adresa ili dinamička, ali u skladu s postavkama davatelja gotovo je uvijek ista. Inače, možete koristiti tehnologiju tzv Dinamički DNS (DDNS) . Ova vam tehnologija omogućuje ažuriranje informacija o IP adresi na DNS poslužitelju gotovo u stvarnom vremenu i pristup usmjerivaču (i uslugama iza njega) registriranim imenom, bez obraćanja pozornosti na promjene u dinamičkom IP-u.
Za besplatnu implementaciju ove tehnologije morat ćete se registrirati na nekom dinamičkom DNS servisu i instalirati klijentski softver za ažuriranje DNS zapisa ako se odgovarajuća IP adresa promijeni. Podršku za dinamički DNS obično pružaju proizvođači mrežne opreme (D-Link, Zyxel itd.), neke hosting i specijalizirane tvrtke, poput poznatog DynDNS-a. Međutim, nakon što su u drugoj polovici 2014. godine sve usluge koje su se registriranim korisnicima pružale besplatno za nekomercijalnu upotrebu postale plaćene, možda najpopularnije rješenje bilo je korištenje dinamičkog DNS-a temeljenog na usluzi No-IP.org, koji pruža besplatne usluge podrške za 2 čvora s dinamičkim IP-om. Da biste besplatno koristili uslugu, morat ćete se registrirati i povremeno (otprilike jednom mjesečno) posjećivati stranicu kako biste ažurirali informacije o korištenim dinamičkim IP čvorovima. Ako preskočite ažuriranje podataka o čvoru, usluga se obustavlja, a sukladno tome, bit će nemoguće povezati se s čvorom po imenu. Kada koristite uslugu uz naknadu, ažuriranje nije potrebno.
Gotovo svi moderni usmjerivači (modemi) imaju ugrađenu podršku za dinamički DNS klijent. Njegovo postavljanje je obično vrlo jednostavno - popunite polja s korisničkim imenom i lozinkom, kao i imenom hosta dobivenim prilikom registracije na DDNS uslugu. Primjer za Zyxel P660RU2
Korištenje DDNS klijenta ugrađenog u usmjerivač/modem poželjnije je od uslužnog programa za ažuriranje DNS podataka koji radi u OS okruženju, jer vam omogućuje implementaciju dodatnih mogućnosti, kao što je upravljanje usmjerivačem putem interneta kada je računalo isključeno i daljinsko uključivanje napajanja računala iza NAT-a pomoću tehnologije Wake On Lan.
U slučajevima kada nije moguće koristiti ugrađeni DDNS klijent, morat ćete se zadovoljiti aplikacijskim softverom - klijentskim programom za podršku dinamičkom DNS-u. Takav se program povremeno povezuje s poslužiteljem koji održava registrirani naziv domene povezan s usmjerivačem putem kojeg je uspostavljena internetska veza te poziva proceduru ažuriranja IP-a kada se promijeni. Postavke poslužitelja napravljene su na način da se usporedba DNS naziva i IP adrese internetske veze završi u vrlo kratkom vremenu, a dinamička priroda adrese praktički nema utjecaja na performanse usluga povezanih s DNS ime.
I zapravo, sve je jednostavno kada imate saznanja o tome što se događa... za ljude koji žele razumjeti - pročitajte odjeljak "teorija" ispod, za ostalo "vodič" u slikama za postavljanje, koristeći primjer Zyxel Keenetic II Giga(firmware V2) i G6FTP poslužitelj na jednom od računala u kućnoj mreži.
Pri radu pomoću FTP protokola između klijenta i poslužitelja uspostavljaju se dvije veze - kontrolna (preko nje se šalju naredbe) i podatkovna (preko nje se prenose datoteke). Kontrolna veza je ista za aktivni i pasivni način rada. Klijent inicira TCP vezu s dinamičkog porta (1024-65535) na port broj 21 na FTP poslužitelju i kaže “Hello! Želim se povezati s tobom. Evo mog imena i lozinke." Daljnje radnje ovise o tome koji je FTP način (aktivan ili pasivan) odabran.
Aktivni način rada. Kada klijent kaže "Zdravo!" također govori poslužitelju broj priključka (iz dinamičkog raspona 1024-65535) tako da se poslužitelj može povezati s klijentom i uspostaviti podatkovnu vezu. FTP poslužitelj povezuje se s navedenim brojem porta klijenta, koristeći TCP port broj 20 za prijenos podataka. Za klijenta je takva veza dolazna. Stoga je rad u aktivnom načinu rada s klijentima koji se nalaze iza vatrozida ili NAT-a često težak ili zahtijeva dodatne postavke.
Pasivni način rada. U pasivnom načinu rada, nakon što klijent kaže "Hello!", poslužitelj govori klijentu svoju IP adresu i broj TCP porta (iz dinamičkog raspona 1024-65535) na koji se može spojiti radi uspostavljanja podatkovne veze. U nastavku ćemo ih zvati pasivni portovi. U ovom slučaju, kao što je lako vidjeti, portovi u takvoj vezi, i na strani klijenta i na strani poslužitelja, ispadaju proizvoljni. U pasivnom načinu rada, klijent može lako raditi s poslužiteljem kroz svoj vatrozid, ali često da bi poslužitelj podržavao pasivni način rada, vatrozid mora biti konfiguriran u skladu s tim na strani poslužitelja.
Glavna razlika između aktivnog FTP načina i pasivnog FTP načina je strana koja otvara vezu za prijenos podataka. U aktivnom načinu rada, klijent mora moći prihvatiti ovu vezu s FTP poslužitelja. U pasivnom načinu rada, klijent uvijek sam inicira ovu vezu, a poslužitelj je mora prihvatiti.
Pasivni FTP način je dizajniran za povezivanje klijenata koji se nalaze iza vatrozida. U kućnim mrežama bi ovaj način rada trebao biti glavni način rada FTP poslužitelja ako želite da korisnici nemaju problema s pristupom.
Sada vježbajte u slikama.
Prvo povezujemo računalo s IP-om, u mom slučaju to je 10.0.0.100
zatim konfigurirajte standardne ftp portove
i dodajte portove za rad u pasivnom načinu rada
3 odgovora
Aktivan i pasivan su dva načina rada kroz koje FTP može raditi. FTP koristi dva kanala između klijenta i poslužitelja, naredbeni kanal i podatkovni kanal, koji su zapravo odvojene TCP veze. Naredbeni kanal je za naredbe i odgovore, podatkovni kanal je za stvarni prijenos datoteka. Ovo je sjajan način slanja naredbi poslužitelju bez čekanja da se trenutni prijenos podataka završi.
U aktivnom načinu rada klijent uspostavlja naredbeni kanal (od klijentskog priključka X do poslužiteljskog priključka 21(b)), ali poslužitelj uspostavlja podatkovni kanal (od poslužiteljskog priključka 20(b) do klijentskog priključka Y, gdje je Y osiguran od strane klijent).
U pasivnom načinu rada klijent uspostavlja oba kanala. U ovom slučaju, poslužitelj govori klijentu koji port treba koristiti za podatkovni kanal.
Pasivni način se obično koristi u situacijama kada FTP poslužitelj ne može uspostaviti podatkovni kanal. Jedan od glavnih razloga za to su mrežni vatrozidi. Iako možda imate pravilo vatrozida koje vam dopušta otvaranje FTP kanala za ftp.microsoft.com, Microsoftovi poslužitelji možda neće moći otvoriti podatkovni kanal kroz vatrozid.
Pasivni način rada to rješava otvaranjem obje vrste kanala na strani klijenta. Da ovo bude pouzdano jasnije:
Aktivni način rada:
- Klijent šalje PORT 2001(a) poslužitelju, a poslužitelj potvrđuje u naredbenom kanalu.
- Poslužitelj otvara podatkovni kanal od poslužiteljskog priključka 20 (b) do klijentskog priključka 2001 (a).
- Klijent potvrđuje podatkovni kanal.
Pasivni način rada:
- Klijent otvara naredbeni kanal od klijentskog priključka 2000(a) do poslužiteljskog priključka 21(b).
- Klijent šalje PASV poslužitelju u naredbenom kanalu.
- Poslužitelj šalje natrag (u naredbenom kanalu) PORT 1234(a) nakon što je počeo slušati na tom priključku.
- Klijent otvara podatkovni kanal od klijenta 2001(a) do porta poslužitelja 1234(a).
- Poslužitelj potvrđuje podatkovni kanal.
U ovom su trenutku naredbe i podatkovni kanali otvoreni.
(a) Imajte na umu da je odabir portova na strani klijenta specifičan za klijenta, budući da je odabir porta podatkovne veze poslužitelja u pasivnom načinu rada specifičan za poslužitelja.
(b) Nadalje treba napomenuti da je korištenje priključaka 20 i 21 samo uvjetno (iako jako). Ne postoji apsolutni zahtjev da se ti priključci koriste, iako se klijent i poslužitelj moraju dogovoriti koji se priključci koriste. Vidio sam implementacije koje se pokušavaju sakriti od klijenata koristeći različite portove (beskorisno, po mom mišljenju).
Nedavno sam se susreo s ovim problemom na svom radnom mjestu, pa bih trebao reći nešto drugo ovdje. Koristit ću sliku da objasnim kako FTP radi kao komplementarni izvor prethodnom odgovoru.
Aktivni način rada:
Pasivni način rada:
U konfiguraciji aktivnog načina rada, poslužitelj će se pokušati spojiti na nasumični port klijenta. Najvjerojatnije ovaj priključak ne bi bio jedan od onih unaprijed definiranih priključaka. Kao rezultat toga, pokušaj povezivanja s njim bit će blokiran vatrozidom i veza se neće uspostaviti.
Pasivna konfiguracija neće imati ovaj problem jer će klijent biti inicijator veze. Naravno, serverska strana također može imati vatrozid. Međutim, budući da se očekuje da poslužitelj primi veći broj zahtjeva za povezivanje u usporedbi s klijentom, onda bi bilo logično da se administrator poslužitelja prilagodi situaciji i otvori izbor portova za prilagođavanje konfiguracija pasivnog načina rada.
Dakle, bilo bi bolje da poslužitelj postavite tako da podržava FTP u pasivnom načinu rada. Međutim, pasivni način rada učinit će vaš sustav ranjivim na napade jer se klijenti moraju spojiti na nasumične poslužitelje. Dakle, da biste podržali ovaj način rada, ne samo da vaš poslužitelj mora imati višestruke dostupne priključke, vaš vatrozid također mora dopuštati veze na sve te priključke!
Da biste smanjili rizike, dobro bi rješenje bilo navesti raspon priključaka na vašem poslužitelju i zatim dopustiti samo taj raspon priključaka na vašem vatrozidu.
Za više informacija pogledajte bijeli papir.
Smanjena verzija mog članka Načini FTP veze (aktivno naspram pasivno):
Način FTP veze (aktivan ili pasivan) određuje način uspostavljanja podatkovne veze. U oba slučaja, klijent stvara TCP kontrolnu vezu na priključak 21 FTP poslužitelja. Ovo je standardna odlazna veza, kao i kod bilo kojeg drugog protokola za prijenos datoteka (SFTP, SCP, WebDAV) ili bilo koje druge TCP klijentske aplikacije (kao što je web preglednik). Stoga obično nema problema pri otvaranju kontrolne veze.
Ono gdje je FTP složeniji od drugih protokola za prijenos datoteka je prijenos datoteka. Dok drugi protokoli koriste istu vezu za upravljanje sesijom i prijenos datoteka (podataka), FTP protokol koristi zasebnu vezu za prijenos datoteka i imenika.
U aktivnom načinu rada, klijent počinje osluškivati nasumični port za dolazne podatkovne veze s poslužitelja (klijent šalje naredbu FTP PORT da kaže poslužitelju koji port osluškuje). Danas je tipično da je klijent iza vatrozida (kao što je ugrađeni Windows vatrozid) ili NAT usmjerivača (kao što je ADSL modem), ne može prihvatiti dolazne TCP veze.
Iz tog razloga uveden je pasivni način rada koji se danas uglavnom koristi. Korištenje pasivnog načina je poželjno jer se najsloženija konfiguracija izvodi samo jednom na strani poslužitelja, od strane iskusnog administratora, umjesto pojedinačno na strani klijenta, od strane (moguće) neiskusnih korisnika.
U pasivnom načinu rada, klijent koristi kontrolnu vezu za slanje PASV naredbe poslužitelju, a zatim od poslužitelja prima IP adresu poslužitelja i broj porta poslužitelja, koje klijent zatim koristi za otvaranje veze s IP adresom i portom poslužitelja broj.
Konfiguracija mreže za pasivni način rada
U pasivnom načinu rada većina konfiguracijskog opterećenja je na strani poslužitelja. Administrator poslužitelja mora konfigurirati poslužitelj kako je opisano u nastavku.
Vatrozid i NAT na strani FTP poslužitelja moraju biti konfigurirani ne samo za dopuštanje/usmjeravanje dolaznih veza na FTP port 21, već i na više portova za dolazne podatkovne veze. Softver FTP poslužitelja obično ima konfiguracijsku opciju za konfiguriranje raspona priključaka koje će koristiti poslužitelj. I isti raspon mora biti otvoren/usmjeren na vatrozidu/NAT-u.
Kada je FTP poslužitelj iza NAT-a, mora znati svoju vanjsku IP adresu kako bi je mogao dati klijentu kao odgovor na PASV naredbu.
Konfiguracija mreže za aktivni način rada
U aktivnom načinu rada većina konfiguracijskog opterećenja je na strani klijenta.
Vatrozid (npr. Vatrozid za Windows) i NAT (npr. pravila usmjeravanja ADSL modema) na strani klijenta moraju biti konfigurirani za dopuštanje/usmjeravanje niza portova za dolazne podatkovne veze. Za otvaranje portova u sustavu Windows idite na Upravljačka ploča > Sustav i sigurnost > Windows vatrozid > Napredne postavke > Ulazna pravila > Novo pravilo. Za usmjeravanje portova na NAT (ako ih ima), pogledajte njegovu dokumentaciju.
Kada je NAT na vašoj mreži, FTP klijent mora znati svoju vanjsku IP adresu, koju WinSCP mora dati FTP poslužitelju pomoću naredbe PORT. Tako da se poslužitelj može pravilno povezati s klijentom i otvoriti podatkovnu vezu. Neki FTP klijenti mogu automatski otkriti vanjsku IP adresu, neki od njih moraju se konfigurirati ručno.
Pametni vatrozid/NAT
Neki vatrozidi/NAT-ovi pokušavaju automatski otvoriti/zatvoriti podatkovne portove provjerom veze s FTP vezom i/ili prevesti IP adrese podatkovne veze u promet kontrole veze.
Kada koristite takav vatrozid/NAT, gornja konfiguracija nije potrebna za jednostavan nešifrirani FTP. Ali to ne može funkcionirati s FTPS-om jer je promet kontrolne veze šifriran i vatrozid/NAT ga ne može pregledati i modificirati.
