關於VSFTP的主動模式和被動模式
首先我們看兩個例子如下:
其中192.168.10.7是服務端,172.16.11.11是客戶端
被動模式
# netstat -an |grep 172.16.11.11
tcp 0 0 192.168.10.7:52160 172.16.11.11:16091 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:15354 TIME_WAIT
tcp 0 434064 192.168.10.7:43407 172.16.11.11:16220 ESTABLISHED
tcp 0 0 192.168.10.7:21 172.16.11.11:16090 ESTABLISHED
tcp 0 52 ::ffff:192.168.10.7:22 ::ffff:172.16.11.11:13939 ESTABLISHED
主動模式
# netstat -an |grep 172.16.11.11
tcp 0 268488 192.168.10.7:20 172.16.11.11:18434 ESTABLISHED
tcp 0 0 192.168.10.7:21 172.16.11.11:18433 TIME_WAIT
tcp 0 0 192.168.10.7:20 172.16.11.11:18426 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18425 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18418 TIME_WAIT
tcp 0 0 192.168.10.7:20 172.16.11.11:18420 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18369 TIME_WAIT
tcp 0 0 192.168.10.7:20 172.16.11.11:18397 TIME_WAIT
tcp 0 0 192.168.10.7:21 172.16.11.11:18387 ESTABLISHED
tcp 0 52 ::ffff:192.168.10.7:22 ::ffff:172.16.11.11:13939 ESTABLISHED
如上我們不難發現:
被動模式時, 服務端用到21端口,其他大於1024端口,如43407
主動模式時, 服務端用到20端口,21端口
兩種模式客戶端用到的都是大於1024的端口
由此可以推出21端口是連接控制端口,20端口是數據傳輸端口(主動模式下)
補充,在生產環境下由於防火牆和ACL等對端口控制的很嚴格,如果想方便服務端的配置可以用主動模式,
但客戶端要讓他們調好模式,如IE浏覽器默認就是用被動模式。
