ftp被動模式防火牆

① 如何設置ftp的主動模式和被動模式

一、什麼是主動FTP
主動模式的FTP工作原理：客戶端從一個任意的非特權埠N連接到FTP伺服器的命令埠，也就是21埠。然後客戶端開始監聽埠N+1，並發送FTP命令「port N+1」到FTP伺服器。接著伺服器會從它自己的數據埠（20）連接到客戶端指定的數據埠（N+1）。
針對FTP伺服器前面的防火牆來說，必須允許以下通訊才能支持主動方式FTP：
1、 任何大於1024的埠到FTP伺服器的21埠。（客戶端初始化的連接）
2、 FTP伺服器的21埠到大於1024的埠。 （伺服器響應客戶端的控制埠）
3、 FTP伺服器的20埠到大於1024的埠。（伺服器端初始化數據連接到客戶端的數據埠）
4、 大於1024埠到FTP伺服器的20埠（客戶端發送ACK響應到伺服器的數據埠）

二、什麼是被動FTP
為了解決伺服器發起到客戶的連接的問題，人們開發了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知伺服器它處於被動模式時才啟用。
在被動方式FTP中，命令連接和數據連接都由客戶端發起，這樣就可以解決從伺服器到客戶端的數據埠的入方向連接被防火牆過濾掉的問題。
當開啟一個 FTP連接時，客戶端打開兩個任意的非特權本地埠（N > 1024和N+1）。第一個埠連接伺服器的21埠，但與主動方式的FTP不同，客戶端不會提交PORT命令並允許伺服器來回連它的數據埠，而是提交 PASV命令。這樣做的結果是伺服器會開啟一個任意的非特權埠（P > 1024），並發送PORT P命令給客戶端。然後客戶端發起從本地埠N+1到伺服器的埠P的連接用來傳送數據。
對於伺服器端的防火牆來說，必須允許下面的通訊才能支持被動方式的FTP:
1、 從任何大於1024的埠到伺服器的21埠（客戶端初始化的連接）
2、 伺服器的21埠到任何大於1024的埠（伺服器響應到客戶端的控制埠的連接）
3、 從任何大於1024埠到伺服器的大於1024埠（客戶端初始化數據連接到伺服器指定的任意埠）
4、 伺服器的大於1024埠到遠程的大於1024的埠（伺服器發送ACK響應和數據到客戶端的數據埠）
以上關於主動和被動FTP的解釋，可以簡單概括為以下兩點：
1、主動FTP：
命令連接：客戶端 >1024埠 -> 伺服器 21埠
數據連接：客戶端 >1024埠 <- 伺服器 20埠
2、被動FTP：
命令連接：客戶端 >1024埠 -> 伺服器 21埠
數據連接：客戶端 >1024埠 -> 伺服器 >1024埠
三、主動模式ftp與被動模式FTP優點和缺點：
主動FTP對FTP伺服器的管理和安全很有利，但對客戶端的管理不利。因為FTP伺服器企圖與客戶端的高位隨機埠建立連接，而這個埠很有可能被客戶端的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利，但對伺服器端的管理不利。因為客戶端要與伺服器端建立兩個連接，其中一個連到一個高位隨機埠，而這個埠很有可能被伺服器端的防火牆阻塞掉。

② 什麼是ftp主動模式和被動模式

FTP是僅基於TCP的服務，不支持UDP。 與眾不同的是FTP使用2個埠，一個數據埠和一個命令埠（也可叫做控制埠）。通常來說這兩個埠是21（命令埠）和20（數據埠）。但FTP 工作方式的不同，數據埠並不總是20。這就是FTP主動與被動模式的最大不同之處。
（一）主動FTP
主動方式的FTP是這樣的：客戶端從一個任意的非特權埠N（N>1024）連接到FTP伺服器的命令埠（21埠）。然後客戶端開始監聽埠N+1，並發送FTP命令「port N+1」到FTP伺服器。接著伺服器會從它自己的數據埠（20）連接到客戶端指定的數據埠（N+1）。
針對FTP伺服器前面的防火牆來說，必須允許以下通訊才能支持主動方式FTP：
1. 任何大於1024的埠到FTP伺服器的21埠。（客戶端初始化的連接）
2. FTP伺服器的21埠到大於1024的埠。 （伺服器響應客戶端的控制埠）
3. FTP伺服器的20埠到大於1024的埠。（伺服器端初始化數據連接到客戶端的數據埠）
4. 大於1024埠到FTP伺服器的20埠（客戶端發送ACK響應到伺服器的數據埠）
（二）被動FTP
為了解決伺服器發起到客戶的連接的問題，人們開發了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知伺服器它處於被動模式時才啟用。
在被動方式FTP中，命令連接和數據連接都由客戶端發起，這樣就可以解決從伺服器到客戶端的數據埠的入方向連接被防火牆過濾掉的問題。
當開啟一個 FTP連接時，客戶端打開兩個任意的非特權本地埠（N > 1024和N+1）。第一個埠連接伺服器的21埠，但與主動方式的FTP不同，客戶端不會提交PORT命令並允許伺服器來回連它的數據埠，而是提交 PASV命令。這樣做的結果是伺服器會開啟一個任意的非特權埠（P > 1024），並發送PORT P命令給客戶端。然後客戶端發起從本地埠N+1到伺服器的埠P的連接用來傳送數據。
對於伺服器端的防火牆來說，必須允許下面的通訊才能支持被動方式的FTP:
1. 從任何大於1024的埠到伺服器的21埠 （客戶端初始化的連接）
2. 伺服器的21埠到任何大於1024的埠 （伺服器響應到客戶端的控制埠的連接）
3. 從任何大於1024埠到伺服器的大於1024埠 （客戶端初始化數據連接到伺服器指定的任意埠）
4. 伺服器的大於1024埠到遠程的大於1024的埠（伺服器發送ACK響應和數據到客戶端的數據埠）
（三） 主動與被動FTP優缺點
主動FTP對FTP伺服器的管理有利，但對客戶端的管理不利。因為FTP伺服器企圖與客戶端的高位隨機埠建立連接，而這個埠很有可能被客戶端的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利，但對伺服器端的管理不利。因為客戶端要與伺服器端建立兩個連接，其中一個連到一個高位隨機埠，而這個埠很有可能被伺服器端的防火牆阻塞掉。
幸運的是，有折衷的辦法。既然FTP伺服器的管理員需要他們的伺服器有最多的客戶連接，那麼必須得支持被動FTP。我們可以通過為FTP伺服器指定一個有 限的埠范圍來減小伺服器高位埠的暴露。這樣，不在這個范圍的任何埠會被伺服器的防火牆阻塞。雖然這沒有消除所有針對伺服器的危險，但它大大減少了危 險。
簡而言之：
主動模式（PORT）和被動模式（PASV）。主動模式是從伺服器端向客戶端發起連接；被動模式是客戶端向伺服器端發起連接。兩者的共同點是都使用 21埠進行用戶驗證及管理，差別在於傳送數據的方式不同，PORT模式的FTP伺服器數據埠固定在20，而PASV模式則在1025-65535之間隨機
FTP主動模式與被動模式的解決與原理
FTP是File Transfer Protocol（文件傳輸協議）的縮寫，用來在兩台計算機之間互相傳送文件。相比於HTTP，FTP協議要復雜得多。復雜的原因，是因為FTP協議要用到兩個TCP連接，一個是命令鏈路，用來在FTP客戶端與伺服器之間傳遞命令；另一個是數據鏈路，用來上傳或下載數據。
FTP協議有兩種工作方式：PORT方式和PASV方式，中文意思為主動式和被動式。
PORT（主動）方式的連接過程是：客戶端向伺服器的FTP埠（默認是21）發送連接請求，伺服器接受連接，建立一條命令鏈路。當需要傳送數據時，客戶端在命令鏈路上用PORT命令告訴伺服器：「我打開了XXXX埠，你過來連接我」。於是伺服器從20埠向客戶端的XXXX埠發送連接請求，建立一條數據鏈路來傳送數據。
PASV（被動）方式的連接過程是：客戶端向伺服器的FTP埠（默認是21）發送連接請求，伺服器接受連接，建立一條命令鏈路。當需要傳送數據時，伺服器在命令鏈路上用PASV命令告訴客戶端：「我打開了XXXX埠，你過來連接我」。於是客戶端向伺服器的XXXX埠發送連接請求，建立一條數據鏈路來傳送數據。
概括：
--------------------------------------------------------------------------------
主動模式：伺服器向客戶端敲門，然後客戶端開門
被動模式：客戶端向伺服器敲門，然後伺服器開門
所以，如果你是如果通過代理上網的話，就不能用主動模式，因為伺服器敲的是上網代理伺服器的門，而不是敲客戶端的門
而且有時候，客戶端也不是輕易就開門的，因為有防火牆阻擋，除非客戶端開放大於1024的高端埠

③ iis的ftp防火牆就是開啟被動模式嗎

iis的ftp防火牆就是開啟被動模式。在被動模式下，FTP客戶端隨機開啟一個大於1024的埠N向伺服器的21號埠發起連接，發送用戶名和密碼進行登陸，會開啟N+1埠。向伺服器發送PASV命令，通知伺服器自己處於被動模式。伺服器收到命令後，會開放一個大於1024的埠P（埠P的范圍是可以設置的，後面會說到這個是很重要的）進行監聽，用PORTP命令通知客戶端，自己的數據埠是P。客戶端收到命令後，會通過N+1號埠連接伺服器的埠P，在兩個埠之間進行數據傳輸。

④ 如何為被動模式FTP伺服器配置Windows防火牆 詳細�0�3

通過打開到 TCP 埠號 21 的「命令通道」連接，標准模式 FTP 客戶端會啟動到伺服器的會話。客戶端通過將 PORT 命令發送到伺服器請求文件傳輸。然後，伺服器會嘗試啟動返回到 TCP 埠號 20 上客戶端的「數據通道」連接。客戶端上運行的典型防火牆將來自伺服器的此數據通道連接請求視為未經請求，並會丟棄數據包，從而導致文件傳輸失敗。 Windows Vista 和 Windows Server 2008 中的 高級安全 Windows 防火牆 支持有狀態 FTP ，該 FTP 允許將埠 20 上的入站連接請求與來自客戶端的先前出站 PORT 命令相匹配。但是，如果您通過 SSL 使用 FTP 來加密和保護 FTP 通信，則防火牆不再能夠檢查來自伺服器的入站連接請求，並且這些請求會被阻止。 為了避免此問題， FTP 還支持「被動」操作模式，客戶端在該模式下啟動數據通道連接。客戶端未使用 PORT 命令，而是在命令通道上發送 PASV 命令。伺服器使用 TCP 埠號進行響應，客戶端應連接到該埠號來建立數據通道。默認情況下，伺服器使用極短范圍（ 1025 到 5000 ）內的可用埠。為了更好保護伺服器的安全，您可以限制 FTP 服務使用的埠范圍，然後創建一個防火牆規則：僅在那些允許的埠號上進行 FTP 通信。 本主題將討論執行以下操作的方法： 1. 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 2. 配置入站防火牆規則以便僅在允許的埠上進行入站 FTP 連接 以下過程顯示在 Internet 信息服務 (IIS) 7.0 版上配置 FTP 服務的步驟。如果您使用其他 FTP 服務，請查閱產品文檔以找到相應的步驟。配置對 SSL 的支持不在本主題的討論范圍之內。有關詳細信息，請參閱 IIS 文檔。 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 1. 在 IIS 7.0 管理器中的「連接」窗格中，單擊伺服器的頂部節點。 2. 在細節窗格中，雙擊「FTP 防火牆支持」。 3. 輸入您希望 FTP 服務使用的埠號的范圍。例如，41000-41099 允許伺服器同時支持 100 個被動模式數據連接。 4. 輸入防火牆的外部 IPv4 地址，數據連接通過該地址到達。 5. 在「操作」窗格中，單擊「應用」保存您的設置。 還必須在 FTP 伺服器上創建防火牆規則，以在前一過程中配置的埠上允許入站連接。盡管您可以創建按編號指定埠的規則，但是，創建打開 FTP 服務所偵聽的任何埠的規則更為容易。通過按前一過程中的步驟操作，您可限制 FTP 偵聽的埠。 配置入站防火牆規則以便僅允許到 FTP 所偵聽埠的入站 FTP 連接 1. 打開管理員命令提示符。依次單擊「開始」、「所有程序」和「附件」，右鍵單擊「命令提示符」，然後單擊「以管理員身份運行」。 2. 運行下列命令： 復制代碼 netsh advfirewall firewall add rule name=」FTP Service」 action=allow service=ftpsvc protocol=TCP dir=in 3. 最後，禁用有狀態 FTP 篩選，以使防火牆不會阻止任何 FTP 通信。 復制代碼 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable

⑤ win2008配置FTP伺服器，出現227錯誤，如何開啟FTP的被動模式

做了一個下劃線，修改與2020年2月17號下午

發布文章以來，很多朋友找我問具體的配置，說實話，當初配置的迷迷糊糊的，也忘記當時到底有沒有配置好。

無論如何，過去了，大家用心得方法吧。

大家不需要再自己手工配置了，2020年2月10號左右，我使用了免費的filezilla配置一下。

因為我是阿里雲，所以，在配置的時候，還需要進入阿里雲的安全規則里，開啟21埠，和你所需要的埠。

伺服器上，裝filezilla的服務端。

電腦上，用filezilla的客戶端。

阿里雲的配置，跟網上的很多教程，有點不一樣，所以，我貼出來，給大家看看。

https://www.cnblogs.com/leowork/p/setup_ftp_server.html

---------------------------------------------------------------------------------------

以下內容是以前的。

2017.08.23 14:17:28字數 657閱讀 1,179

本文配置win2008 FTP伺服器，基於以下幾點。

1.win2008伺服器

2.使用win2008自帶的FTP功能

3.配置特定賬戶的FTP，不配置FTP隔離用戶。

其他條件下，自行尋找其他文檔。另註：相關操作，都在IIS7，或者IIS7.5管理器中進行。一點都不需要IIS6。網上有些教程，是忽悠我的。

本人配置FTP伺服器遇到的錯誤

一.賬號密碼明明是對的，內網，外網都無法訪問。這是許可權問題。需要三件事，確定許可權 。

1.在伺服器管理中，新建用戶，配置賬號密碼。這是你准備使用的FTP賬號，密碼

2.新建FTP目錄，配置目錄的許可權，右鍵文件屬性，安全，添加，高級搜索，立刻查找，找到剛建的FTP用戶名，添加所有許可權，應用。

3.新建FTP站點的時候，到了用戶選項，選擇基本，輸入FTP賬號密碼，上面的匿名選項，可以忽略。

4.綁定IP的時候，綁定到指定IP，或者不填。

這四點保證了，FTP賬號的訪問權許可權，可以進入外網和內網的測試。

二.內網能訪問，外網訪問的時候，出現227.這是伺服器配置的遇到的防火牆問題。

網上建議在連接FTP的時候，選擇主動模式。（具體操作是。如果是瀏覽器訪問伺服器，設置IE禁止被動訪問，如果是FTP軟體訪問伺服器，也選擇主動模式。）

然而，這其實是伺服器自身的配置問題。需要在伺服器端解決。

1.在IIS7界面，選擇FTP站點，進入FTP防火牆選項。

a.查看埠范圍。如果是灰色0-0.那就到IIS最頂端的伺服器站點配置里配置埠。

很多人建立FTP站點以後，在IIS管理界面。發現FTP埠范圍是灰色的，無法修改。那是因為，你要從最上級的伺服器級別的站點設置。我的設置是1025-2000.

b.配置防火牆外網IP，這里必須要填，填上伺服器的外網IP就好了。

2.防火牆允許程序選項。 允許windows主服務程序的運行。（2B的微軟，在2003,2008伺服器里都默認禁止了win主服務。這里需要允許程序運行，增加一條就好了。win2008，是svchost.exe,  win2003 是inetsrv.exe）

3.添加入站規則。

a.開始添加入站規則。命名為FTP PASV埠（主要是好記，可以隨便叫）。

b.屬性設置里，埠配置，填上1025-2000，跟步驟1對應。

c.程序和服務選項，選擇所有符合指定條件的程序。

d.程序和服務選項.服務--設置--僅應用於服務。

至此，設置完成。不需要重啟伺服器，只需要重啟IIS。如何重啟IIS，不需要從命令中重啟，只需要在IIS伺服器級別的那個網站選項上，右鍵。

也不需要重啟FTP服務。真不行才重啟FTP服務。net  stop ftpsvc ，net start ftp ftpsvc。

四.WIN2008的FTP伺服器配置，以及FTP防火牆的配置至此完成。有不會的，聯系我，QQ：909743105.

此文作為記錄，以免自己忘記。

⑥ 關於FTP被動模式與主動模式中防火牆過濾情況！

主動模式和被動模式是針對伺服器而言。ftp需要建立兩個連接（命令連接和數據連接），主動方式的命令連接由客戶機發起，數據連接由伺服器發起，這樣客戶端的防火牆可能會阻攔；被動連接的兩個連接都由客戶機發起，客戶機的防火牆不會阻攔（就像設置一個門不是為了關自己）。這是主體思想，具體的怎麼連接你上網搜一下，很多的。

回答問題：

1. 不會，一般伺服器都是先前設置好的。

2. 這里考慮的防火牆主要是在建立連接時的作用。

3. 見上。
   

⑦ ftp埠防火牆怎麼樣設置

ftp埠防火牆設置方法一：
1.可以用SERV-U架設,只設置一個對外帳號,使用許可權只有下載權,沒有上傳,更改,刪除權
2.電腦裝殺毒軟體和防火牆
3.還有一個最基本的,在重視軟體的同時,別忘了Windows的安全,也要設置相應的密碼,關閉GUEST帳號
ftp埠防火牆設置方法二：
FTP埠常規的是21號埠。因為常規上網時不需要使用到這個埠，有可能你的防火牆將你的21號埠屏蔽了。
1、注意伺服器上你安裝的防火牆
2、注意伺服器自帶防火牆。
你需要把這兩個防火牆都打開才可以
ftp埠防火牆設置方法三：

必須開啟20和21
在被動模式下，FTP會打開一個高於1024的隨機埠與客戶端傳輸數據
這個埠的下限和上限可以在FTP服務端軟體中設置的
補充：
就是說，除了20和21以外，還必須開放一些高於1024的埠
你可以在FTP服務端軟體中設置這個范圍，並且在防火牆裡面把這些埠給開放了
當然，你也可以只設置一個這樣的埠

⑧ ftp文件錯誤，無法與伺服器建立連接。防火牆ftp被動模式都關了，該怎麼辦

可以裝個FTP軟體，比如FileZilla，使用方便，功能還強大

⑨ 使用被動ftp模式需要關掉嗎

使用被動ftp模式不需要關掉。在被動方式FTP中，命令連接和數據連接都由客戶端，這樣就可以解決從伺服器到客戶端的數據埠的入方向連接被防火牆。

ftp的工作原理

FTP 採用 Internet 標准文件傳輸協議 FTP 的用戶界面， 向用戶提供了一組用來管理計算機之間文件傳輸的應用程序。FTP 是基於客戶模型而設計的，在客戶端與 FTP 伺服器之間建立兩個連接。開發任何基於 FTP 的客戶端軟體都必須遵循 FTP 的工作原理。

FTP 的獨特的優勢同時也是與其它客戶伺服器程序最大的不同點就在於它在兩台通信的主機之間使用了兩條 TCP 連接，一條是數據連接，用於數據傳送；另一條是控制連接，用於傳送控制信息命令和響應。

這種將命令和數據分開傳送的思想大大提高了 FTP 的效率，而其它客戶伺服器應用程序一般只有一條 TCP 連接。圖 1 給出了 FTP 的基本模型。客戶有三個構件：用戶介面、客戶控制進程和客戶數據傳送進程。

⑩ FTP主動模式和被動模式的區別

一、什麼是主動FTP
主動模式的FTP工作原理：客戶端從一個任意的非特權埠N連接到FTP伺服器的命令埠，也就是21埠。然後客戶端開始監聽埠N+1，並發送FTP命令「port
N+1」到FTP伺服器。接著伺服器會從它自己的數據埠（20）連接到客戶端指定的數據埠（N+1）。
針對FTP伺服器前面的防火牆來說，必須允許以下通訊才能支持主動方式FTP：
1、
任何大於1024的埠到FTP伺服器的21埠。（客戶端初始化的連接）
2、
FTP伺服器的21埠到大於1024的埠。
（伺服器響應客戶端的控制埠）
3、
FTP伺服器的20埠到大於1024的埠。（伺服器端初始化數據連接到客戶端的數據埠）
4、
大於1024埠到FTP伺服器的20埠（客戶端發送ACK響應到伺服器的數據埠）
二、什麼是被動FTP
為了解決伺服器發起到客戶的連接的問題，人們開發了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知伺服器它處於被動模式時才啟用。
在被動方式FTP中，命令連接和數據連接都由客戶端發起，這樣就可以解決從伺服器到客戶端的數據埠的入方向連接被防火牆過濾掉的問題。
當開啟一個
FTP連接時，客戶端打開兩個任意的非特權本地埠（N
>
1024和N+1）。第一個埠連接伺服器的21埠，但與主動方式的FTP不同，客戶端不會提交PORT命令並允許伺服器來回連它的數據埠，而是提交
PASV命令。這樣做的結果是伺服器會開啟一個任意的非特權埠（P
>
1024），並發送PORT
P命令給客戶端。然後客戶端發起從本地埠N+1到伺服器的埠P的連接用來傳送數據。
對於伺服器端的防火牆來說，必須允許下面的通訊才能支持被動方式的FTP:
1、
從任何大於1024的埠到伺服器的21埠（客戶端初始化的連接）
2、
伺服器的21埠到任何大於1024的埠（伺服器響應到客戶端的控制埠的連接）
3、
從任何大於1024埠到伺服器的大於1024埠（客戶端初始化數據連接到伺服器指定的任意埠）
4、
伺服器的大於1024埠到遠程的大於1024的埠（伺服器發送ACK響應和數據到客戶端的數據埠）
以上關於主動和被動FTP的解釋，可以簡單概括為以下兩點：
1、主動FTP：
命令連接：客戶端
>1024埠
->
伺服器
21埠
數據連接：客戶端
>1024埠
<-
伺服器
20埠
2、被動FTP：
命令連接：客戶端
>1024埠
->
伺服器
21埠
數據連接：客戶端
>1024埠
->
伺服器
>1024埠
三、主動模式ftp與被動模式FTP優點和缺點：
主動FTP對FTP伺服器的管理和安全很有利，但對客戶端的管理不利。因為FTP伺服器企圖與客戶端的高位隨機埠建立連接，而這個埠很有可能被客戶端的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利，但對伺服器端的管理不利。因為客戶端要與伺服器端建立兩個連接，其中一個連到一個高位隨機埠，而這個埠很有可能被伺服器端的防火牆阻塞掉。