Quelle est la différence entre actif et passif FTP?

Quelqu'un s'il vous plaît dites-moi quelle est la différence entre actif et passif FTP? Lequel est préférable?

InformationsquelleAutor karthik | 2009-11-09
  1. 462

    Active et passive sont les deux modes de FTP pouvez exécuter dans.

    Pour le fond, FTP utilise deux de canaux de communication entre le client et le serveur, la commande et les canaux de données, qui sont en fait séparé connexions TCP.

    Le canal de commande est pour les commandes et les réponses, tandis que le canal de données est pour le transfert de fichiers.

    Cette séparation de la commande les informations et les données en canaux, une chouette façon d'être en mesure d'envoyer des commandes au serveur sans avoir à attendre la fin du transfert de données à la fin. Conformément à la RFC, ce n'est mandaté pour un sous-ensemble de commandes, telles que l'abandon, l'abandon de l'actuel transfert, et d'obtenir le statut.

    Dans active mode, le client établit le canal de commande, mais le serveur est responsable de l'établissement du canal de données. Cela peut effectivement être un problème si, par exemple, la machine client est protégé par des pare-feu et ne permettra pas non autorisée des demandes de session des parties externes.

    Dans passive mode, le client établit les deux canaux. Nous savons déjà qu'il établit le canal de commande en mode actif et il en fait de même ici.

    Cependant, il demande ensuite le serveur (sur le canal de commande) pour démarrer écoute sur un port (sur les serveurs discrétion) plutôt que d'essayer d'établir une connexion vers le client.

    Dans ce cadre, le serveur renvoie au client le numéro de port qu'il a choisi d'écouter, de sorte que le client sait comment s'y connecter.

    Une fois que le client sait qu'il peut réussir à créer le canal de données et de continuer.

    Plus de détails sont disponibles dans la RFC: https://www.ietf.org/rfc/rfc959.txt

    • Je ne pense pas que l'état à travers le port Y est de droite, en mode actif, le client ne permet pas de déterminer le port Y, le serveur essaie de choisir au hasard l'un des numéros de port et essaie de voir si le client serait de permettre la communication par l'intermédiaire de ce port choisi. La raison pour laquelle je dis cela est que, si ce n'est pas vrai (mon argument) puis le côté client, même si c'est derrière un pare-feu peut toujours créer deux pare-feu règles pour la connexion sortante et l'autre pour la connexion entrante.
    • le client n'est pas nécessairement le contrôle du pare-feu. Exemple: dans les environnements d'entreprise, il y a généralement un pare-feu entre la société en réseau à l'échelle et le monde extérieur, au cours de laquelle un client FTP a zéro de la puissance.
    • EN mode Passif, pourquoi le serveur envoie au client un port aléatoire pour le client plutôt que le client se connecte au serveur de port 20 directement?
    • En mode passif, pourquoi ne serveur attribuer un port aléatoire de no et de l'envoyer au client pour la connexion de données ? Pourquoi ne peut-client directement ouvrir un canal de données à partir d'un client de port à port n ° 20 sur le côté serveur ?
    • J'ai posé la question ici, maintenant, networkengineering.stackexchange.com/q/43680/37406
    • vous peut de le faire. En fait, c'est la façon dont la ABOR commande fonctionne, l'abandon de "la précédente FTP service de la commande et de tout transfert de données", selon la RFC. En fait, une section ultérieure en fait explicitement, ce qu'autorise le: "Certaines commandes (telles que l'ABOR, STAT, QUITTER) peut être envoyé sur la connexion de contrôle, tandis qu'un transfert de données est en cours".
    • mes excuses, je vais préciser que.

    InformationsquelleAutor paxdiablo
  2. 159

    J'ai récemment cette question dans mon lieu de travail donc je pense que je devrais dire quelque chose de plus ici. Je vais utiliser l'image d'expliquer comment le FTP fonctionne comme une source supplémentaire pour la réponse précédente.

    Mode actif:

    Quelle est la différence entre actif et passif FTP?

    Mode passif:

    Quelle est la différence entre actif et passif FTP?


    Dans un mode actif de configuration, le serveur tentera de se connecter à un client aléatoire-côté port. Si les chances sont, que le port ne serait pas l'un de ces ports prédéfinis. Comme un résultat, d'une tentative de connexion, il sera bloqué par le pare-feu et pas de connexion sera établie.

    Quelle est la différence entre actif et passif FTP?


    Un passif configuration n'aurez pas ce problème, car le client sera celui de l'initiation de la connexion. Bien sûr, il est possible que le serveur, afin d'avoir un pare-feu aussi. Toutefois, étant donné que le serveur est prévu pour recevoir un plus grand nombre de demandes de connexion par rapport à un client, alors il serait mais logique pour l'administrateur du serveur pour s'adapter à la situation et d'ouvrir une sélection de ports pour satisfaire mode passif configurations.

    De sorte qu'il serait préférable pour vous de configurer le serveur à l'appui de FTP en mode passif. Cependant, le mode passif serait rendre votre système vulnérable aux attaques, car les clients sont censés se connecter à aléatoires les ports du serveur. Ainsi, à l'appui de ce mode, il faut non seulement votre serveur doivent avoir plusieurs ports disponibles, votre pare-feu doit également autoriser les connexions à tous les ports de passer à travers!

    À atténuer les risques, une bonne solution serait de spécifier une plage de ports sur votre serveur et à permettre ensuite seulement que la plage de ports sur votre pare-feu.

    Pour plus d'informations, veuillez lire la document officiel.

    • Je suis juste deviner qui est le problème de sécurité. Si le serveur écoute sur le même port (20) alors il ne peut pas comprendre le client qui est en train de parler, de sorte qu'il choisissez un port aléatoire et de l'envoyer au client, à partir d'écouter à ce port. Lorsque le client se connecter à ce port, le serveur de savoir quel client auquel il appartient. Mais il est suffisant pour un MITM pour se connecter à un même client. (eh bien, attaque de type mitm ici est délicat de toute façon...)
    • Super réponse, en particulier des informations sur le problème de firewall
    • Rien de tel good ol' images pour expliquer quelque chose
    InformationsquelleAutor Yuantao
  3. 12

    Version expurgée de mon article FTP Modes de Connexion (Actif vs Passif):

    FTP mode de connexion (active ou passive), détermine la façon dont une connexion de données est établie. Dans les deux cas, un client crée un contrôle TCP connexion à un serveur FTP port de commande 21. C'est une norme de connexion sortante, comme avec n'importe quel autre protocole de transfert de fichier (SFTP, SCP, WebDAV) ou toute autre application client TCP (par exemple, le navigateur web). Donc, normalement il n'y a pas de problèmes lors de l'ouverture de la connexion de contrôle.

    Où le protocole FTP est plus compliqué en comparaison aux autres protocoles de transfert de fichiers sont les transferts de fichiers. Tandis que les autres protocoles utilisent la même connexion pour la session de contrôle et de fichiers (données) pour les transferts, le protocole FTP utilise une connexion distincte pour les transferts de fichiers et les listes de répertoires.

    Dans le active mode, le client commence à écouter sur un port aléatoire pour la réception des connexions de données à partir du serveur (le client envoie la commande FTP PORT informer le serveur sur le port est à l'écoute). De nos jours, il est typique que le client est derrière un pare-feu (par exemple, intégré dans le pare-feu Windows) ou un routeur NAT (par ex. modem ADSL), incapable d'accepter les connexions TCP.

    Pour cette raison, le passive mode a été introduit et est principalement utilisé aujourd'hui. À l'aide de la passive mode est préférable, car la plupart des complexes de la configuration est effectuée qu'une seule fois sur le côté serveur, par administrateur expérimenté, plutôt qu'individuellement sur un côté du client, par (éventuellement) les utilisateurs inexpérimentés.

    Dans le passive mode, le client utilise la connexion de contrôle pour envoyer un PASV commande au serveur et reçoit une adresse IP du serveur et le serveur numéro de port du serveur, que le client utilise pour ouvrir une connexion de données à l'adresse IP du serveur et le numéro de port du serveur de réception.

    De Configuration du réseau pour le Mode Passif

    Avec le passive mode, la plupart de la configuration de la charge est sur le côté serveur. L'administrateur de serveur doit configurer le serveur comme décrit ci-dessous.

    Le pare-feu et du NAT sur le serveur FTP secondaires doivent être configurés pour permettre/itinéraire les connexions entrantes sur le FTP port 21 mais aussi une plage de ports pour les données entrantes connexions. Généralement, le serveur FTP logiciel dispose d'une option de configuration à l'installation de toute une gamme de ports, le serveur va utiliser. Et de la même gamme doit être ouvert/acheminés sur le pare-feu/NAT.

    Lorsque le serveur FTP est derrière un NAT, il a besoin de savoir c'est l'adresse IP externe, de sorte qu'il peut fournir au client une réponse à PASV commande.

    De Configuration du réseau pour le Mode Actif

    Avec le active mode, la plupart de la configuration de la charge est sur le côté client.

    Le pare-feu (par exemple, le pare-feu Windows) et NAT (par ex. modem ADSL règles de routage) sur le côté client doivent être configurés pour autoriser/route d'une plage de ports pour les données entrantes connexions. Pour ouvrir les ports dans Windows, allez à la Panneau de configuration > Système et Sécurité > le Pare-feu Windows > Paramètres Avancés > Règles de trafic Entrant > Nouvelle Règle. Pour le routage de ports sur le NAT (le cas échéant), reportez-vous à sa documentation.

    Quand il y a du NAT dans votre réseau, le client FTP a besoin de connaître son adresse IP externe que le WinSCP doit fournir au serveur FTP à l'aide PORT de commande. Pour que le serveur peut se connecter correctement à l'arrière du client à ouvrir la connexion de données. Certains clients FTP sont capables d'auto-détection de l'adresse IP externe, certains doivent être configurés manuellement.

    Smart Pare-Feu/Nat

    Certains pare-feu/Nat essayer de se ouvrir/fermer les ports de données par l'inspection de contrôle FTP connexion et/ou de traduire la connexion de données les adresses IP à la connexion de contrôle de la circulation.

    Avec un pare-feu/NAT, la configuration ci-dessus n'est pas nécessaire pour une plaine non cryptée FTP. Mais cela ne peut pas fonctionner avec FTPS, comme le contrôle du trafic de la connexion est cryptée et le pare-feu/NAT ne peut pas vérifier ni de le modifier.

    InformationsquelleAutor Martin Prikryl
  4. 10

    Mode actif:
    -serveur initie la connexion.

    Mode passif:
    -le client initie la connexion.

    InformationsquelleAutor Saeed Aliakbari
  5. 0

    Mode actif—Le client envoie une commande PORT pour le serveur de signalisation, qu'il sera “activement” de fournir une adresse IP et numéro de port à ouvrir la Connexion de Données vers le client.

    Mode passif—Le client envoie une commande PASV pour indiquer qu'il attendra “passivement” pour le serveur de fournir une adresse IP et numéro de port, après quoi le client sera de créer une Connexion de Données pour le serveur.

    Il y a beaucoup de bonnes réponses ci-dessus, mais ce blog comprend quelques graphiques et donne une bonne explication: https://titanftp.com/2018/08/23/what-is-the-difference-between-active-and-passive-ftp/

    InformationsquelleAutor DaveW2122