FTP端口详解 – wiki基地

作者: /

FTP端口详解

文件传输协议(File Transfer Protocol,简称FTP)是互联网上用于在客户端和服务器之间进行文件传输的协议。它是一个古老但至今仍广泛使用的协议,尤其在网站维护、文件上传下载等场景中扮演着重要角色。然而,与许多现代协议不同,FTP的工作方式有些特殊,它不是简单地在一个端口上完成所有任务,而是同时使用两个独立的连接:一个用于控制,另一个用于数据传输。理解FTP如何利用这些端口,以及它独特的活动(Active)模式和被动(Passive)模式,对于网络故障排除、防火墙配置和确保文件传输的顺利进行至关重要。

FTP协议基础

在深入探讨端口之前,我们先回顾一下FTP的基本工作原理。FTP采用客户端-服务器(Client-Server)模型。客户端发起连接请求,服务器监听特定的端口并响应请求。客户端可以执行上传、下载、删除、重命名文件或目录等操作。与HTTP等无状态协议不同,标准的FTP协议是状态协议,这意味着服务器会维护关于客户端会话的状态信息,例如当前目录、登录状态等。

FTP的双端口特性

FTP协议最显著的特点之一是它使用两个独立的通道(因此也使用两个独立的端口)来完成文件传输任务:

  1. 控制连接 (Control Connection): 用于传输FTP命令(如登录、改变目录、列出文件、发送PORT/PASV命令等)和接收服务器响应(状态码和信息)。
  2. 数据连接 (Data Connection): 用于实际传输文件数据(上传或下载)以及目录列表信息。

这种分离设计使得控制连接可以在整个会话期间保持开放,用于发送命令和接收少量响应,而数据连接则根据需要建立和关闭,用于传输大量数据。

控制端口:端口 21

FTP的控制连接默认使用TCP端口21。这是一个IANA(互联网号码分配局)分配的标准“周知”端口。当FTP客户端启动并尝试连接到FTP服务器时,它首先会向服务器的IP地址的端口21发起一个TCP连接。

这个控制连接负责处理:

  • 用户认证: 客户端发送用户名和密码(或在匿名FTP中发送特定用户名/邮箱地址)。
  • 命令传输: 客户端发送各种FTP命令,如 USER, PASS, CWD (改变目录), LIST (列出文件), RETR (下载), STOR (上传), PORT, PASV, QUIT 等。
  • 服务器响应: 服务器通过控制连接返回数字状态码和文本信息,指示命令执行的结果(成功、失败、需要更多信息等)。

控制连接通常在整个FTP会话期间保持活跃,直到客户端发送 QUIT 命令或连接超时。由于控制连接传输的是命令和响应,数据量通常较小,因此它使用一个固定且知名的端口21。

数据端口:复杂性的来源

FTP的数据连接与控制连接不同,它并不总是使用一个固定的端口。确切地说,数据连接使用的端口以及由哪一方(客户端或服务器)发起连接,取决于FTP会话所使用的模式:活动模式 (Active Mode)被动模式 (Passive Mode)

理解这两种模式是理解FTP端口的关键,尤其是在涉及防火墙和网络地址转换(NAT)的环境中。

1. 活动模式 (Active Mode FTP)

活动模式是FTP协议最初的设计模式。在活动模式下,数据连接的发起方是FTP服务器

活动模式的工作流程如下:

  1. 建立控制连接: 客户端从其一个临时端口(通常是大于1023的随机高端口,称为Ephemeral Port)向服务器的TCP端口21发起控制连接。
  2. 客户端通知服务器数据端口: 当客户端准备进行数据传输(例如,执行 LIST, RETR, STOR 命令)时,它首先通过控制连接向服务器发送一个 PORT 命令。PORT 命令包含客户端监听数据连接的IP地址和端口号。例如,如果客户端的IP是192.168.1.100,它选择了一个临时端口 50000 来接收数据连接,它会发送类似 PORT 192,168,1,100,195,80 的命令 (这里的195 * 256 + 80 = 50000)。
  3. 服务器建立数据连接: 收到 PORT 命令后,FTP服务器会主动地从其TCP端口20(这是一个约定俗成的端口,服务器在活动模式下作为数据连接的源端口使用)向客户端通过 PORT 命令指定的IP地址和端口号(例如192.168.1.100:50000)发起一个新的TCP连接。这个连接就是数据连接。
  4. 数据传输: 数据(文件内容或目录列表)通过这个由服务器建立的数据连接进行传输。
  5. 关闭数据连接: 数据传输完成后,数据连接通常会被关闭。控制连接仍然保持开放,等待下一个命令。

活动模式的问题:防火墙障碍

活动模式在早期网络环境中运行良好,但在现代网络中,特别是客户端位于防火墙或NAT设备后面时,会遇到严重问题。

  • 客户端防火墙: 大多数客户端机器都运行着个人防火墙。在活动模式下,服务器需要主动发起连接到客户端的某个随机高端口。如果客户端的防火墙没有配置允许来自外部的入站连接到这个特定的高端口,防火墙会阻止服务器尝试建立的数据连接,导致数据传输失败(通常表现为卡住或超时)。
  • NAT问题: 如果客户端位于NAT设备后面,客户端在 PORT 命令中报告的是其内部私有IP地址和端口。服务器收到这个私有IP后,无法直接连接到它,因为私有IP在公共互联网上是不可路由的。即使NAT设备支持FTP ALG (Application Layer Gateway),处理起来也比较复杂且不稳定。

因此,尽管活动模式是原始设计,但由于其对客户端防火墙和NAT不友好,在大多数情况下不再是首选模式。

一个关于端口 20 的澄清:

值得注意的是,服务器在活动模式下用于发起数据连接的源端口通常是TCP端口20。这使得一些人认为端口20是FTP的数据端口。但这不够精确。端口20只是服务器在活动模式下发起数据连接时使用的源端口。客户端接收数据连接的目标端口是客户端通过 PORT 命令随机指定的一个高端口。而且,在被动模式下,端口20几乎不扮演任何角色。

2. 被动模式 (Passive Mode FTP)

被动模式是为了解决活动模式在防火墙和NAT环境下的问题而设计的。在被动模式下,数据连接的发起方是FTP客户端

被动模式的工作流程如下:

  1. 建立控制连接: 客户端从其一个临时端口向服务器的TCP端口21发起控制连接,这一点与活动模式相同。
  2. 客户端请求被动模式: 当客户端准备进行数据传输时,它通过控制连接向服务器发送一个 PASV 命令。
  3. 服务器响应数据端口信息: 收到 PASV 命令后,FTP服务器会打开(监听)一个随机的、大于1023的高端口(通常是从一个预先配置的端口范围内选取),并通过控制连接向客户端发送一个响应,其中包含服务器已经打开的这个数据端口的IP地址和端口号。例如,如果服务器打开了端口 60000 并告知客户端,响应可能类似 227 Entering Passive Mode (192,168,1,1,234,96) (这里的192 * 256 + 96 = 60000)。
  4. 客户端建立数据连接: 客户端收到服务器返回的IP地址和端口号后,会从其另一个临时端口(不同于控制连接的临时端口)主动向服务器的这个指定端口(例如192.168.1.1:60000)发起一个新的TCP连接。这个连接就是数据连接。
  5. 数据传输: 数据通过这个由客户端建立的数据连接进行传输。
  6. 关闭数据连接: 数据传输完成后,数据连接通常会被关闭。控制连接继续等待下一个命令。

被动模式的优势和劣势:

  • 优势: 被动模式对客户端防火墙非常友好。客户端主动向服务器发起数据连接,这与客户端发起HTTP连接等行为类似,大多数客户端防火墙默认允许这种出站连接。这极大地提高了客户端在有防火墙或NAT环境下的FTP连接成功率。
  • 劣势: 被动模式对服务器防火墙提出了要求。FTP服务器必须打开并监听一个范围内的、不固定的高端口,以便客户端能够连接。服务器端的防火墙需要配置允许来自外部到服务器指定被动端口范围的入站连接。如果服务器端防火墙配置不当,被动模式的数据连接也会失败。此外,如果服务器也位于NAT后面,并且在 PASV 命令中返回了内部私有IP,同样会遇到NAT问题,除非服务器或NAT设备支持并正确配置了FTP ALG。

现代实践:

由于客户端通常比服务器更难配置防火墙和NAT(客户端数量众多且环境复杂),被动模式已经成为大多数现代FTP客户端的默认模式。只有当被动模式不可用或被阻止时,客户端才会尝试回退到活动模式。

FTP端口与防火墙/NAT的交互

如前所述,FTP的双端口特性以及活动/被动模式使得它在经过防火墙或NAT设备时变得复杂。

  • 防火墙: 传统的“状态检测”防火墙能够跟踪TCP连接的状态。但对于FTP,它们需要更深入的检查。当防火墙看到控制连接上的 PORTPASV 命令时,如果它支持FTP ALG(Application Layer Gateway,也称为FTP Helper),它会解析命令中的IP地址和端口信息。
    • 在活动模式下,FTP ALG会记住客户端期望服务器连接回来的IP和端口,并为这个预期的入站连接在防火墙上打开一个临时通道。
    • 在被动模式下,FTP ALG会记住服务器告知客户端的数据端口,并为客户端发起的到这个端口的出站连接以及服务器回传的数据包打开通道。
      如果防火墙没有FTP ALG功能或ALG被禁用,那么在活动模式下,服务器主动发起到客户端的连接会被阻止;在被动模式下,客户端发起到服务器高端口的连接也可能被阻止,除非服务器的被动端口范围在防火墙上显式开放。
  • NAT: NAT设备负责将内部私有IP地址和端口映射到外部公共IP地址和端口。
    • 在活动模式下,客户端在 PORT 命令中报告其内部私有IP和端口。没有FTP ALG的NAT设备无法识别这个私有IP,服务器收到后无法连接。如果NAT有FTP ALG,它会尝试修改 PORT 命令中的IP地址和端口为NAT设备的公共IP和映射端口,以便服务器能正确连接回来。
    • 在被动模式下,服务器在 PASV 响应中报告其IP和监听的数据端口。如果服务器在NAT后面,并且在 PASV 中报告了其内部私有IP,客户端将无法连接到这个私有IP。如果服务器端NAT有FTP ALG,它会尝试修改 PASV 响应中的IP和端口为NAT设备的公共IP和映射端口。

FTPS和SFTP的影响

值得一提的是,FTPS(FTP over SSL/TLS)和SFTP(SSH File Transfer Protocol)是两种更安全的替代方案,它们在端口使用上有所不同,并且解决了标准FTP的一些防火墙/NAT问题。

  • FTPS: FTPS是在标准FTP(包括控制和数据连接)上添加了SSL/TLS加密层。FTPS有两种模式:
    • 隐式FTPS: 通常使用TCP端口990作为控制连接,并在同一连接上协商数据传输(或使用其他协商的端口)。这种模式下,控制连接和数据连接的协商都被加密,标准的FTP ALG无法解析 PORTPASV 命令。因此,隐式FTPS在穿透防火墙和NAT时可能比标准FTP更麻烦,除非防火墙/NAT设备特别支持FTPS ALG(不常见)。
    • 显式FTPS: 客户端先连接到标准的FTP控制端口21,然后发送 AUTH TLSAUTH SSL 命令升级到加密连接。之后,数据连接也可以通过协商进行加密。同样,由于控制连接被加密,FTP ALG通常无法工作,导致数据连接的端口信息无法被防火墙/NAT理解,从而可能导致传输失败。一些客户端和服务器支持 EPSV / EPRT 命令(Extended Passive/Active),它们在IPv6和防火墙/NAT环境下工作得更好,并且在FTPS中也能使用,但前提是中间设备不依赖于解析加密的 PASV/PORT 命令。
  • SFTP: SFTP是一个完全不同的协议,它是SSH协议的一个子系统,而不是基于FTP。SFTP只需要一个端口,即SSH的标准端口22。所有通信(控制命令和数据)都在这个加密的SSH连接上进行。这使得SFTP在穿透防火墙和NAT时远比标准FTP或FTPS简单,因为它只需要打开和管理一个端口22。

总结

总而言之,FTP协议通过一个固定端口21建立控制连接,用于命令和响应的传输;通过另一个动态协商的端口建立数据连接,用于实际的文件和目录列表传输。数据连接的建立方式取决于所使用的模式:

  • 活动模式: 服务器从端口20主动连接到客户端通过 PORT 命令指定的临时高端口。对客户端防火墙和NAT不友好。
  • 被动模式: 客户端从临时高端口主动连接到服务器通过 PASV 命令指定的临时高端口范围内的端口。对客户端防火墙和NAT友好,但要求服务器端防火墙开放被动端口范围。

在现代网络环境中,被动模式是更常用的选择。然而,标准FTP(尤其是在活动模式下)以及通过FTPS加密的FTP仍然可能在穿越配置复杂的防火墙或NAT时遇到问题,通常需要FTP ALG的辅助。相比之下,SFTP因其单端口特性而在穿透障碍方面具有优势。

理解FTP的控制端口(21)和数据端口(在活动模式下服务器通常使用20作为源端口,客户端和服务器使用动态协商的高端口作为目标/源端口)的分离设计,以及活动模式和被动模式下数据连接发起方的区别,是解决FTP连接问题、正确配置防火墙规则的关键。对于需要安全传输文件的场景,强烈建议使用FTPS或SFTP来替代传统的明文FTP。

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部