FTP的主動模式與被動模式

FTP服務器使用20和21兩個網絡端口與FTP客戶端進行通訊.

FTP服務器的21端口用於傳輸FTP的控制命令,20端口用於傳輸文件數據.

FTP主動模式：

FTP客戶端向服務器的FTP控制端口(默認是21)發送鏈接請求,服務器接受鏈接,創建一條命令鏈路;當須要傳送數據時,客戶端在命令鏈路上用PORT的命令告訴服務器我開放了某端口,你過來鏈接我.因而服務器從20端口向客戶端的該端口發送鏈接請求,創建一條數據鏈路來傳送數據.在數據鏈路創建過程當中是服務器主動請求,因此稱爲主動模式.

FTP被動模式：

FTP客戶端向服務器的FTP控制端口(默認21)發送鏈接請求,服務器接受鏈接,創建一條命令鏈路;當須要傳送數據時,服務器在命令鏈路上用PASV命令告訴客戶端,我打開了某端口,你過來連我.因而客戶端向服務器的該端口發送鏈接請求,創建一條數據鏈路來傳送數據.在數據鏈路創建的過程當中是服務器被動等待客戶機的請求,因此稱被動模式.

 

由上面幾點能夠看出,FTP服務器的主動與被動模式是以FTP服務器進行數據傳送鏈接的主動或被動爲依據的.

對於FTP服務器與客戶機之間存在的網絡防火牆,不管是服務器側仍是客戶機側的網絡防火牆設置策略都要保證FTP服務器和客戶端之間可以正常創建命令鏈路和數據鏈路。

－－－－－－－－－－－－－－－

2. FTP客戶端有主動模式和被動模式之說

2.1 主動FTP

主動方式的FTP是這樣的：客戶端從一個任意的非特權端口N（N>1024）鏈接到FTP服務器的命令端口，也就是21端口。而後客戶端開始監聽端

口N+1，併發送FTP命令「port N+1」到FTP服務器。接着服務器會從它本身的數據端口（20）鏈接到客戶端指定的數據端口（N+1）。

2.1.1 支持主動方式FTP的條件：

　　針對FTP服務器前面的防火牆來講，必須容許如下通信才能支持主動方式FTP：

1. 任何端口到FTP服務器的21端口 （客戶端初始化的鏈接 S<-C）

2. FTP服務器的21端口到大於1024的端口（服務器響應客戶端的控制端口 S->C）

3. FTP服務器的20端口到大於1024的端口（服務器端初始化數據鏈接到客戶端的數據端口 S->C）

4. 大於1024端口到FTP服務器的20端口（客戶端發送ACK響應到服務器的數據端口 S<-C）

 

　　在第1步中，客戶端的命令端口與FTP服務器的命令端口創建鏈接，併發送命令「PORT 1027」。而後在第2步中，FTP服務器給客戶端的命令端口返回一個"ACK"。在第3步中，FTP服務器發起一個從它本身的數據端口（20）到客戶端先前指定的數據端口（1027）的鏈接，最後客戶端在第4步中給服務器端返回一個"ACK"。

　　主動方式FTP的主要問題實際上在於客戶端。FTP的客戶端並無實際創建一個到服務器數據端口的鏈接，它只是簡單的告訴服務器本身監聽的端口號，服務器

再回來鏈接客戶端這個指定的端口。對於客戶端的防火牆來講，這是從外部系統創建到內部客戶端的鏈接，這是一般會被阻塞的。

 

2.1.2主動FTP的例子

　　下面是一個主動FTP會話的實際例子。固然服務器名、IP地址和用戶名都作了改動。在這個例子中，FTP會話從testbox1.slacksite.com(192.168.150.80)，一個運行標準的FTP命令行客戶端的Linux工做站，發起到testbox2.slacksite.com(192.168.150.90)，一個運行ProFTPd1.2.2RC2的Linux工做站。debugging（-d）選項用來在FTP客戶端顯示鏈接的詳細過程。紅色的文字是debugging信息，顯示的是發送到服務器的實際FTP命令和所產生的迴應信息。服務器的輸出信息用黑色字表示，用戶的輸入信息用粗體字表示。

 

仔細考慮這個對話過程咱們會發現一些有趣的事情。咱們能夠看到當 PORT命令被提交時，它指定了客戶端(192.168.150.80)上的一個端口而不是服務器的。當咱們用被動FTP時咱們會看到相反的現象。咱們再來關注PORT命令的格式。就象你在下面的例子看到的同樣，它是一個由六個被逗號隔開的數字組成的序列。前四個表示IP地址，後兩個組成了用於數據鏈接的端口號。用第五個數乘以256再加上第六個數就獲得了實際的端口號。下面例子中端口號就是( (14*256) + 178) =3762。咱們能夠用netstat來驗證這個端口信息。

 

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2

Connected to testbox2.slacksite.com.

220 testbox2.slacksite.com FTP server ready.

Name (testbox2:slacker): slacker

---> USER slacker

331 Password required for slacker.

Password: TmpPass

---> PASS XXXX

230 User slacker logged in.

---> SYST

215 UNIX Type: L8

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

ftp: setsockopt (ignored): Permission denied

---> PORT 192,168,150,80,14,178

200 PORT command successful.

---> LIST

150 Opening ASCII mode data connection for file list.

drwx------ 3 slacker users 104 Jul 27 01:45 public_html

226 Transfer complete.

ftp> quit

---> QUIT

221 Goodbye.

 

2.2、被動FTP

爲了解決服務器發起到客戶的鏈接的問題，人們開發了一種不一樣的FTP鏈接方式。這就是所謂的被動方式，或者叫作PASV，當客戶端通知服務器它處於被動模式時才啓用。

　　在被動方式FTP中，命令鏈接和數據鏈接都由客戶端，這樣就能夠解決從服務器到客戶端的數據端口的入方向鏈接被防火牆過濾掉的問題。當開啓一個FTP鏈接時，客戶端打開兩個任意的非特權本地端口（N >1024和N+1）。第一個端口鏈接服務器的21端口，但與主動方式的FTP不一樣，客戶端不會提交PORT命令並容許服務器來回連它的數據端口，而是提交PASV命令。這樣作的結果是服務器會開啓一個任意的非特權端口（P > 1024），併發送PORT P命令給客戶端。而後客戶端發起從本地端口N+1到服務器的端口P的鏈接用來傳送數據。

 

　　對於服務器端的防火牆來講，必須容許下面的通信才能支持被動方式的FTP:

1. 從任何端口到服務器的21端口 （客戶端初始化的鏈接 S<-C）

2. 服務器的21端口到任何大於1024的端口 （服務器響應到客戶端的控制端口的鏈接 S->C）

3. 從任何端口到服務器的大於1024端口 （入；客戶端初始化數據鏈接到服務器指定的任意端口 S<-C）

4. 服務器的大於1024端口到遠程的大於1024的端口（出；服務器發送ACK響應和數據到客戶端的數據端口 S->C）

 

　　在第1步中，客戶端的命令端口與服務器的命令端口創建鏈接，併發送命令「PASV」。而後在第2步中，服務器返回命令"PORT 2024"，告訴客戶端（服務器）用哪一個端口偵聽數據鏈接。在第3步中，客戶端初始化一個從本身的數據端口到服務器端指定的數據端口的數據鏈接。最後服務器在第4步中給客戶端的數據端口返回一個"ACK"響應。

　　被動方式的FTP解決了客戶端的許多問題，但同時給服務器端帶來了更多的問題。最大的問題是須要容許從任意遠程終端到服務器高位端口的鏈接。幸運的是，許多FTP守護程序，包括流行的WU-FTPD容許管理員指定FTP服務器使用的端口範圍。

 

　　第二個問題是客戶端有的支持被動模式，有的不支持被動模式，必須考慮如何能支持這些客戶端，以及爲他們提供解決辦法。例如，Solaris提供的FTP命令行工具就不支持被動模式，須要第三方的FTP客戶端，好比ncftp。

　　隨着WWW的普遍流行，許多人習慣用web瀏覽器做爲FTP客戶端。大多數瀏覽器只在訪問ftp://這樣的URL時才支持被動的配置。

 

2.2.1 被動FTP的例子

　　下面是一個被動FTP會話的實際例子，只是服務器名、IP地址和用戶名都作了改動。在這個例子中，FTP會話從testbox1.slacksite.com(192.168.150.80)，一個運行標準的FTP命令行客戶端的Linux工做站，發起到testbox2.slacksite.com(192.168.150.90)，一個運行ProFTPd1.2.2RC2的Linux工做站。

　　debugging（-d）選項用來在FTP客戶端顯示鏈接的詳細過程。紅色的文字是debugging信息，顯示的是發送到服務器的實際FTP命令和所產生的迴應信息。服務器的輸出信息用黑色字表示，用戶的輸入信息用粗體字表示。

　　注意此例中的PORT命令與主動FTP例子的不一樣。這裏，咱們看到是服務器(192.168.150.90)而不是客戶端的一個端口被打開了。能夠跟上面的主動FTP例子中的PORT命令格式對比一下。

 

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2

Connected to testbox2.slacksite.com.

220 testbox2.slacksite.com FTP server ready.

Name (testbox2:slacker): slacker

---> USER slacker

331 Password required for slacker.

Password: TmpPass

---> PASS XXXX

230 User slacker logged in.

---> SYST

215 UNIX Type: L8

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> passive

Passive mode on.

ftp> ls

ftp: setsockopt (ignored): Permission denied

---> PASV

227 Entering Passive Mode (192,168,150,90,195,149).

---> LIST

150 Opening ASCII mode data connection for file list

drwx------ 3 slacker users 104 Jul 27 01:45 public_html

226 Transfer complete.

ftp> quit

---> QUIT

221 Goodbye.

 

2.3、總結 FTP主被動

下面會幫助管理員們記住每種FTP方式是怎樣工做的：

2.3.1 主動FTP：

命令鏈接：客戶端 >1024端口 -> 服務器 21端口

數據鏈接：客戶端 >1024端口 <- 服務器 20端口

2.3.2 被動FTP：

命令鏈接：客戶端 >1024端口 -> 服務器 21端口

數據鏈接：客戶端 >1024端口 -> 服務器 >1024端口

2.3.3 主動與被動FTP優缺點的簡要總結：

主動FTP對FTP服務器的管理有利，但對客戶端的管理不利。由於FTP服務器企圖與客戶端的高位隨機端口創建鏈接，而這個端口頗有可能被客戶端的防火牆阻塞掉。

被動FTP對FTP客戶端的管理有利，但對服務器端的管理不利。由於客戶端要與服務器端創建兩個鏈接，其中一個連到一個高位隨機端口，而這個端口頗有可能被服務器端的防火牆阻塞掉。 幸運的是，有折衷的辦法。既然FTP服務器的管理員須要他們的服務器有最多的客戶鏈接，那麼必須得支持被動FTP。咱們能夠經過爲FTP服務器指定一個有限的端口範圍來減少服務器高位端口的暴露。這樣，不在這個範圍的任何端口會被服務器的防火牆阻塞。雖然這沒有消除全部針對服務器的危險，但它大大減小了危險。

2.3.4 參考資料

　　O'Reilly出版的《組建Internet防火牆》（第二版，Brent Chapman，Elizabeth Zwicky著）是一本很不錯的參考資料。裏面講述了各類Internet協議如何工做，以及有關防火牆的例子。

　　最權威的FTP參考資料是RFC 959，它是FTP協議的官方規範。RFC的資料能夠從許多網站上下載，例如：ftp://nic.merit.edu/documents/rfc/rfc0959.txt 。

　　Active FTP vs. Passive FTP, Appendix 1

 
－－－－－－－－－－－－－－－

FTP主動與被動的好處和壞處：

在ISA（工業標準架構體系Industry Standard Architecture是IBM PC兼容機上的一種總線）的狀況，若是採用被動模式，因爲IIS是徹底隨機的選擇一個端口，並告知客戶，而後客戶進行主動鏈接，這就意味着在ISA上，你要讓全部的端口都容許動態入站鏈接才行，這樣確定不行，由於太危險了，等於打開了全部的端口鏈接。
若是採用主動模式（PORT Mode)，IIS選擇好端口後，主動與客戶進行鏈接，這時候不須要像PASV模式那樣打開全部的動態入站鏈接，並且正好相反，咱們須要打開全部的動態出站鏈接便可，安全性增長不少。並且由ISA的IP PACKET FILTER只對ISA本機起做用，不會形成局域網內的客戶「放了羊」。

 
－－－－－－－－－－－－－－－

FTP主動模式及被動模式

FTP的特殊性：
　　大多數的TCP服務是使用單個的鏈接，通常是客戶向服務器的一個周知端口發起鏈接，而後使用這個鏈接進行通信。可是，FTP協議卻有所不一樣，它使用雙向的多個鏈接，並且使用的端口很難預計。通常，FTP鏈接包括：

一個控制鏈接(control connection)
　　這個鏈接用於傳遞客戶端的命令和服務器端對命令的響應。它使用服務器的21端口，生存期是整個FTP會話時間。

幾個數據鏈接(data connection)
　　這些鏈接用於傳輸文件和其它數據，例如：目錄列表等。這種鏈接在須要數據傳輸時創建，而一旦數據傳輸完畢就關閉，每次使用的端口也不必定相同。並且，數據鏈接既多是客戶端發起的，也多是服務器端發起的。

　　在FTP協議中，控制鏈接使用周知端口21，所以使用ISA的IP PACKET FILTER就能夠這種鏈接進行很好的安全保護。相反，數據傳輸鏈接的目的端口一般實現沒法知道，所以處理這樣的端口轉發很是困難。FTP協議使用一個標準的端口21做爲ftp-data端口，可是這個端口只用於鏈接的源地址是服務器端的狀況，在這個端口上根本就沒有監聽進程。FTP的數據鏈接和控制鏈接的方向通常是相反的，也就是說，是服務器向客戶端發起一個用於數據傳輸的鏈接。鏈接的端口是由服務器端和客戶端協商肯定的。FTP協議的這個特徵對ISA轉發以及防火牆和NAT的配置增長了不少困難。

　　除此以外，還有另一種FTP模式，叫作被動模式(passive mod)。在這種模式下，數據鏈接是由客戶程序發起的，和剛纔討論過的模式(咱們能夠叫作主動模式)相反。是否採起被動模式取決於客戶程序，在ftp命令行中使用passive命令就能夠關閉/打開被動模式。

　　前面咱們講過，FTP協議的數據傳輸存在兩種模式：主動模式和被動模式。這兩種模式發起鏈接的方向截然相反，主動模式是從服務器端向客戶端發起；被動模式是客戶端向服務器端發起鏈接。

　　咱們回到ISA的狀況，若是採用被動模式，因爲IIS是徹底隨機的選擇一個端口，並告知客戶，而後客戶進行主動鏈接，這就意味着在ISA上，你要讓全部的端口都容許動態入站鏈接才行，這樣確定不行，由於太危險了，等於打開了全部的端口鏈接。
　　若是採用主動模式（PORT Mode)，IIS選擇好端口後，主動與客戶進行鏈接，這時候不須要像PASV模式那樣打開全部的動態入站鏈接，並且正好相反，咱們須要打開全部的動態出站鏈接便可，安全性增長不少。並且由ISA的IP PACKET FILTER只對ISA本機起做用，不會形成局域網內的客戶「放了羊」。

　

　　　因此，我我的這樣作的：
（1）因爲IIS和ISA都在一臺機器上，因此它倆都在偵聽21號端口（IIS默認狀況下會偵聽全部地址的21端口），因此咱們首先要讓IIS只偵聽內

網地址的PORT 21，在DOS下，你能夠經過NETSTAT -NA > abc.txt，而後打開這個文件，你會看到0.0.0.0 21 LISTENING字樣。
輸入以下命令：
net stop msftpsvc （中止FTP服務）
進入\Inetpub\adminscripts\目錄
cscript adsutil.vbs set msftpsvc/disablesocketpooling true （中止偵聽）
net start msftpsvc （啓動FTP服務）
（2）在IIS控制檯裏面，ftp->Property->FTP Site->IP Address改成內網地址。如今，FTP服務只偵聽內網IP的21號端口了。
（3）你們可能這時候有疑問，若是是IIS主動鏈接客戶端，那客戶端的防火牆是否是會阻止這個鏈接（PASV模式不存在這個問題）。爲了防止這種狀況，咱們能夠強制IIS不能與客戶端的任意端口進行鏈接，而只有客戶端鏈接IIS的端口進行數據傳輸。這樣就能夠解決PORT MODE與客戶端防火牆的衝突。方法：修改註冊

表，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\Parameters\，將EnablePortAttack的值由0改成1，而後從新啓動FTP服務。
（4）在ISA裏面，使用SERVER PUBLISH的方法發佈FTP服務，其中：IP address of internal server 填寫ISA的內部網卡的IP，IP address of external server 填寫ISA的外部網卡的IP，Mapped server protocol 選擇 FTP Server。
（5）而後在IP Packet Filter創建一條新RULES，Protocol->TCP,Direction->Outbound,Local Port->Dymanic,Remote Port->All。

　　

　　這是個人解決辦法，可是並不完美，主要是：
（1）客戶不能使用PASV方法進行鏈接，緣由上面已經講了。
（2）因爲第五條，因此ISA服務器隨着保證了對外部訪問的限制，卻沒法限制ISA本機對外部的訪問。

　　我也把個人方法作了一下實驗，使用serv-u作的，有一點錯誤，不過終歸作了出來，下面總結一下：

　　PASV服務器放在ISA後面，其實就是要解決兩個問題：

1. PASV的端口。我上面的方法提出使用secondary connection，但事實證實不對，應該每一個PASV端口都創建一條primary connection，而後分別創建server publishing rules，有多少個PASV端口，就要創建多少條。

　　這裏還能夠引出另外一個話題，就是對web publishing rules的運用，tony你應該知道，經過web publishing rules也能夠發佈ftp服務器，但rule裏面只給了一個ftp端口的選項，很明顯，這是爲PORT模式的FTP服務器準備的，由於PORT模式的數據鏈接是由服務器發起的，在服務器一邊，不存在穿過防火牆的問題。

　　使用web publishing rules還有一個很使人振奮的特性，就是支持動態公用IP用戶，不須要象server publishing rules那樣，每撥一次號都要修改一次外部地址。若是在web publishing rules中也能搞定PASV問題，那麼對於那些使用撥號上網而又想在內網發佈PASV服務器的人來講，簡直是天大的喜訊。

　　須要好好考慮的是如何經過那個只能填一個端口的選項來發布隨機的PASV端口？我從今天的實驗找到了一點靈感，就是也象上面說的那樣，每一個PASV端口都設置一條web publishing rules！我還未作這個實驗，還不能證明這樣作行不行，相信晚上就會有結果了。

　　固然，還須要考慮如何控制PASV模式端口的範圍，serv-u能夠設定，而IIS的FTP不行。

2. 服務器向客戶端傳送IP的問題。當FTP客戶端登陸進入服務器的時候，PASV模式服務器會向客戶端傳送本機的IP地址和數據端口，當服務器放在內網中的時候，服務器會向客戶端返回內網的IP，這固然是不能完成鏈接的，須要讓服務器返回ISA的外網地址。原本，解決方法可使用firwall client的application settings中的nameresolutionforlocalhost參數，設爲P就可讓應用程序返回ISA的外網地址，但這個參數是供firewall client使用的，而發佈服務器不能安裝firewall client，這很惋惜。

　　幸虧，仍是有一個好消息，就是serv-u自己具備返回ISA外網地址這樣的功能，方法是先選中新建FTP服務器的屬性，在domain標籤裏選擇「enable dynamic dns」，此時會出現第二個標籤，叫「dynamic dns」，而後到tz0.com申請動態域名，申請後會獲得一個key，在此標籤中填入此key便可。最後一步，是到新建服務器的settings屬性中，選擇advanced標籤，選中「allow passive mode data transfer」，旁邊的IP地址框留空。這個框對於撥號用戶不用填，只有出口使用固定地址才須要填。

　　這樣，serv-u向客戶端返回IP和端口前，會先向tz0.com查詢到ISA外網的地址，再發送給客戶端。

　　

　　解決了這兩個問題，剩下的工做就簡單了。

　　從以上內容也能夠說明一點，從內網不能發佈IIS的FTP服務器，由於IIS既沒有選項能夠選擇PASV端口的範圍，也沒有辦法讓其返回ISA外網的地址。而serv-u這兩條均可以知足。固然，在微軟的網站上也可能有方法解決IIS的這兩個問題。

　　發佈FTP服務器的時候，要注意FTP服務器有PORT和PASV兩種模式。二者的共同點，是都使用21端口進行用戶驗證及管理，差異在於傳送數據的方式不一樣，PORT模式的FTP服務器數據端口固定在20，而PASV模式則在1025-65535之間隨機。發佈的時候要考慮這個差異。
　　若是FTP服務器在內部網絡中，在創建server publish rules時（雖然web publish rules也能發佈ftp服務器，但它並無提供對port和pasv模式的處理），protocol definitions中的21 inbound條目要創建一個secondary connection，爲20端口上的inbound或1025-65535端口之間的inbound。
若是FTP服務器創建在ISA服務器上，就須要在ip packet filters中設置相關的條目，對於PORT模式，很簡單，開放20 inbound就是，但pasv模式就麻煩一點，由於ip packet filters不能設置端口段，但咱們也不可能把幾萬個端口逐個寫一遍，只能把local port設置爲dynamic，remote port設置爲all ports，固然，對安全性這是個損害。
　　幸運的是，有些PASV模式的FTP服務器可以設置PASV模式端口的範圍，好比serv-u，它可以把PASV模式端口控制在最多50個端口範圍內，若是爲serv-u設置的併發用戶數很少，那麼咱們就能夠爲每一個PASV端口寫一條filter，不須要開放全部的端口了。若是使用IIS的FTP服務器，這個FTP服務器沒有提供選擇PASV模式端口的功能，只能如上所述那樣，開放dynamic和all ports。
　　從你上面的出錯信息來看，你應該是使用IE來訪問FTP服務器吧。IE的FTP客戶端與其它專業FTP客戶端不一樣，不可以自動檢測FTP服務器的類型以及根據服務器的類型改變客戶端的種類。IE只提供了一個手工選項來改變PORT和PASV客戶端角色，就是internet選項->高級->爲FTP站點啓用文件夾視圖，選擇它，IE爲PASV模式客戶端，不選則爲PORT客戶端。你須要根據服務器的類型手工更改這個選項。若是服務器的出口是ADSL類的鏈路，還要把「使用被動FTP（爲防火牆和DSL調制解調器兼容性）」一項選上，這兩個選項只在IE5.5以上版本提供。

 
－－－－－－－－－－－－－－－

ftp主動 (port) 與被動 (pasv) 模式區別

　　所謂port模式也就是主動模式。在FTP協議剛剛創建的時候，只定義了普通的鏈接模式，也就是port模式。

　　Port模式的鏈接過程是：在開始一個FTP的鏈接時，客戶端程序首先會爲本身隨機分配一個TCP端口，它使用這個個端口向服務器的FTP端口（默認爲21）發出鏈接請求，服務器接受請求以後會創建一條控制鏈路,而後客戶程序發出port命令（一般格式爲PORT A, A, A, A, I，I，其中A，A，A，A爲客戶端IP地址，I，I爲隨機的一個數據鏈接端口號）告訴服務器它的數據通道的端口打開了。當須要傳送數據時，服務器便從隨機選擇的一個端口向客戶端的20端口發送鏈接請求，請求被接受以後便開始傳輸數據，數據鏈路通道也就打開了。

－－－－－－－－－－－－－－－

　　所謂pasv模式也就是被動模式。隨着網絡的不斷髮展，出現了防火牆。老的FTP協議在遇到防火牆的時候就一籌莫展了，這是由於20端口每每是防火牆的重點封堵對象，所以數據也就不能發送出去了，因而pasv模式就誕生了。

　　Pasv模式的鏈接過程是：在開始一個FTP的鏈接時，客戶端程序首先爲本身隨機分配一個TCP端口，它使用這個端口向服務器的FTP端口（默認爲21）發出鏈接請求，服務器接受請求以後會創建一條控制鏈路,而後客戶端程序發出PASV命令，代替原來PORT命令告訴服務器它的數據鏈接端口，因而服務器便爲本身隨機分配一個數據通道端口，並將這個端口號告訴客戶端程序。當須要傳送數據時，客戶端程序會向服務器的數據通道端口發送鏈接請求，請求被接受以後便開始傳輸數據，數據鏈路通道也就打開了。

－－－－－－－－－－－－－－－

1．所謂主動和被動能夠看做是以服務器端爲基準，當服務器主動向客戶端發送數據鏈接請求時，爲主動模式；當客戶端主動向服務器發送數據鏈接請求時，爲被動模式。

2．不管客戶端仍是服務器端有防火牆，或是兩邊都有防火牆，只要PASV模式下兩邊數據通道的鏈接端口在防火牆的攔截以外就能夠創建成功。若是防火牆將全部的端口所有堵死，則不能創建數據通道。

－－－－－－－－－－－－－－－

FTP使用中PASV模式的操做方法
（注：此方法只有在沒法登陸和下載的狀況下才可以使用，由於大部分服務都是pasv模式的。 ）

取消 pasv 模式的方法
有許多朋友的 FTP 服務器是不支持 PASV 模式的，登入時要取消 PASV 模式才行。下面是幾種 FTP 下載工具的取消方法：

1.把 flashget 的 pasv 模式關掉的方法

點菜單上的「工具」－>「選項」－>「代理服務器」－>「直接鏈接」－>編輯－>把「 pasv 模式」前的勾勾去掉，一路肯定回來。

2.把 Cutftp 的 pasv 模式關掉的方法

點菜單上的「文件」－>「站點管理」－>在「站點管理器」窗口－>「新建站點」－>填上「域名」－>「編輯」－>「常規」－>把「使用 pasv 模式」前的勾勾去掉。

3.把 FlashFXP 的 pasv 模式關掉的方法

點菜單上的「站點」－>「站點管理器」－>站點管理器窗口－>「新建站點」－>填上「域名」－>「選項」－>把「使用被動模式」前的勾勾去掉－>「應用」 便可。

4.把 NetAnts 的 pasv 模式關掉的方法

點菜單上的"選項"－>"參數設置"－>"代理"－>「直接鏈接」－>編輯－>把「 pasv 模式」前的勾勾去掉，一路肯定回來。

5.把 IEpasv模式關掉方法

點菜單上的"工具"－>"internet選"－>"高級"－>"使用ftp被動模式"鉤去掉。

 

注：資料來自網絡