开FTP服务，防火墙端口设置问题

4Aiur

如果我的防火墙只把21端口打开，别人不能使用我的FTP服务，为什么呢？
我还需要把另外的那些端口打开？
外面的机器访问是情况如下：

1. USER test
   
2. 331 User name okay, need password.
   
3. PASS ********
   
4. 230 User logged in, proceed.
   
5. 成功登录
   
6. CWD /
   
7. 250 Directory changed to /
   
8. PWD
   
9. 257 "/" is current directory.
   
10. TYPE A
    
11. 2005 200 Type set to A.
    
12. PASV
    
13. 227 Entering Passive Mode (192,168,111,4,250,2)
    
14. 连接超时

复制代码

自己访问自己的情况如下

1. C:\Documents and Settings\Administrator>;ftp 192.168.111.4
   
2. Connected to 192.168.111.4.
   
3. 220 Serv-U FTP Server v6.0 for WinSock ready...
   
4. User (192.168.111.4:(none)): test
   
5. 331 User name okay, need password.
   
6. Password:
   
7. 230 User logged in, proceed.
   
8. ftp>; ls
   
9. 200 PORT Command successful.
   
10. 150 Opening ASCII mode data connection for /bin/ls.
    
11. test.txt
    
12. 226 Transfer complete.
    
13. ftp: 10 bytes received in 0.00Seconds 10000.00Kbytes/sec.
    
14. ftp>;

复制代码

fwizard

ftp要转起来至少需要两个端口

4Aiur

我把20、21、22都打开了，还是上不去，郁闷

ayazero

Passive Mode

枫影谁用了

这是一个错误的说法!谁说ftp服务只开21端口不能连上去的???


要看情况.

枫影谁用了

[quote]原帖由 "fwizard"]ftp要转起来至少需要两个端口[/quote 发表：



转起来是什么意思?

4Aiur

请问需要开20端口么？
我现在把20关了，开的是21、6000、6001

目前的情况是：

FTP服务器设置的是Passive mode，把FTP使用的连接端口设置成为6000
和6001，同样把外网的6000、6001映射到这太机器上。
设置方法1：
规则里面让外网访问这台机器的所有服务
情况是：我可以用FlashFXP连上
用其它FTP工具连不上(无论把PASV设成什么模式)
设置方法2：
规则里面让外网访问这台电脑的FTP服务
情况是：所有软件都连不上去

但是用命令ftp x.x.x.x

1. C:\>;ftp x.x.x.x
   
2. Connected to x.x.x.x.
   
3. 220 Serv-U FTP Server v6.0 for WinSock ready...
   
4. User (222.34.17.11:(none)): test
   
5. 331 User name okay, need password.
   
6. Password:
   
7. 230 User logged in, proceed.
   
8. ftp>; cd ttt
   
9. 250 Directory changed to /ttt
   
10. ftp>; ls
    
11. 200 PORT Command successful.
    
12. 150 Opening ASCII mode data connection for /bin/ls.

复制代码

输入cd ttt时还可以，mkdir也可以，但是不能ls

platinum

那台失败的机器，连接 FTP 时使用主动模式就没事了

这是主动模式和被动模式的工作原理决定的，也是 FTP 协议本身的特点，具体可以参考 RFC 959

fwizard

[quote]原帖由 "枫影谁用了"]转起来是什么意思?[/quote 发表：

就是可以建立连接,可以运行相关命令,可以传输文件.

大多数的TCP服务是使用单个的连接，一般是客户向服务器的一个周知端口发起连接，然后使用这个连接进行通讯。但是，FTP协议却有所不同，它使用双向的多个连接，而且使用的端口很难预计。一般，FTP连接包括：

一个控制连接(control connection)
这个连接用于传递客户端的命令和服务器端对命令的响应。它使用服务器的21端口，生存期是整个FTP会话时间。

几个数据连接(data connection)
这些连接用于传输文件和其它数据，例如：目录列表等。这种连接在需要数据传输时建立，而一旦数据传输完毕就关闭，每次使用的端口也不一定相同。而且，数据连接既可能是客户端发起的，也可能是服务器端发起的。

在FTP协议中，控制连接使用周知端口21，因此使用ISA的IP PACKET FILTER就可以这种连接进行很好的安全保护。相反，数据传输连接的目的端口通常实现无法知道，因此处理这样的端口转发非常困难。FTP协议使用一个标准的端口21作为ftp-data端口，但是这个端口只用于连接的源地址是服务器端的情况，在这个端口上根本就没有监听进程。FTP的数据连接和控制连接的方向一般是相反的，也就是说，是服务器向客户端发起一个用于数据传输的连接。连接的端口是由服务器端和客户端协商确定的。FTP协议的这个特征对ISA转发以及防火墙和NAT的配置增加了很多困难。

除此之外，还有另外一种FTP模式，叫做被动模式(passive mod)。在这种模式下，数据连接是由客户程序发起的，和刚才讨论过的模式(我们可以叫做主动模式)相反。是否采取被动模式取决于客户程序，在ftp命令行中使用passive命令就可以关闭/打开被动模式。

我原来只是想简单表达一下我的意思.还有什么疑问吗?

fwizard

原帖由 "枫影谁用了" 发表：
这是一个错误的说法!谁说ftp服务只开21端口不能连上去的???

我看了一下,这句话除了你说了之外,好象没有人表达过这个意思