Теория FTP - Управляет брандмауэром на стороне клиента
сценарий:
1 ftp сервера, который работает с пассивным режимом (диапазон включенных и зарезервированных портов от 5 000 до 6 000)
1 клиентский ftp, который пытается соединиться с ftp сервера выше с пассивным режимом.
должны клиентские открытые порты от 5 000 до 6 000 на его брандмауэре?
Я пытался понять эту часть, и я имею, видел много различных статей о пассивном по сравнению с активным режимом, но я не понимаю это поведение.
При пассивном FTP и управляющее соединение (по умолчанию на порту 21), и соединение для передачи данных (к порту PASV, указанному FTP-сервером) инициируются FTP-клиентом. Обычно брандмауэры, которые позволяют своим пользователям устанавливать FTP-соединение с удаленным сервером, также позволяют клиенту установить это связанное с данными соединение.
Многие крупные сайты вообще не позволяют своим пользователям напрямую подключаться к Интернету и требуют использования прокси-сервера для всего трафика. Диапазон пассивных портов может быть проблемой для этих пользователей...
Более редким является настройка, при которой пользователям разрешается напрямую подключаться к Интернету, но только к ограниченному количеству портов, например, 80 и 443 для веб-трафика, а другие порты блокируются по умолчанию.
.
В этом сценарии любой слегка продвинутый брандмауэр может быть настроен на разрешение протокола FTP и будет загружать специальный вспомогательный модуль. Брандмауэр откроет порт 21 для FTP-управляющих соединений и будет проверять контрольный трафик для PASV-порта, назначенного FTP-клиенту. Динамически этот пассивный порт откроется в брандмауэре, позволяя установить соединение для передачи данных (но только между этим клиентом и конкретным портом на этом конкретном FTP-сервере), и это разрешение будет отозвано, когда контрольное соединение будет прервано.