Ftp és nat, gamelton - s blog
File Transfer Protocol, a világ első szabványosított az 1970 utal, hogy az alkalmazási réteg protokollok és adatátviteli TCP átviteli protokoll. FTP alakult, amikor az ügyfelek és kiszolgálók kölcsönhatásban vannak egymással közvetlenül, közvetítők nélkül, és minimális az akadályokat.
FTP problémák mai hálózatok
A mai hálózatok (NAT, tűzfal, terheléselosztó), a következő jellemzőkkel FTP nem teszi lehetővé, hogy működjön:
Probléma 1 okozza az a tény, hogy a szokásos készülék vagy kiegyensúlyozó kell fenntartani két kapcsolat között ugyanabból a forrásból és a vevő.
2. probléma azért jelentkezik, mert az FTP nem működik, ha a bejövő port súlyosan korlátozott, csak biztosan ismertek. Ie A szokásos FTP mód nem csak akkor működik a nyitott port 21 rész, egy olyan vegyületet, parancsok továbbítása, azt is megköveteli egy sor nagy értékű (49.152-65.534) nyitott portok az adatátvitelhez.
5. probléma okozza a forgalomirányító készülék megszakíthatja „lógott” kapcsolat átvitelére parancsokat.
Két adatátviteli módok FTP
FTP két módot támogat: aktív és passzív. Ezek különböznek a mechanizmus létrehozásáról kapcsolat az adatátvitelhez:
- Aktív módban a szerver csatlakozik a 20. port egy meghatározott ügyfél port.
- Passzív módban a kliens csatlakozik egy véletlenszerű port, a megadott szerver port.
Így minden modern FTP-kliens tárgyalja a szerver, akitől az adat és ki kezdeményezi a kapcsolatot. Az ügyfél meghatározhatja a használata az aktív üzemmódba. küld egy parancsot «PORT», amely megmondja a szervernek, hogy szeretne csatlakozni egy adott IP és port az ügyfél, és indítsa el az adatok küldését. Vagy az ügyfél passzív módban. Küldje el a parancs „PASV” szerver, ami megmondja a szervernek, hogy az ügyfél elvárja, hogy az IP cím és port a szerver kezdeni az adatok fogadását.
Mivel az ügyfél először csatlakozik a szerverhez, hogy kapcsolatot létesítsen továbbítására parancsok, logikus lenne, ha az adatkapcsolat jön létre, mint egy ügyfél, azaz a Elküldtem a PASV parancs (egyidejűleg megszünteti a problémákat között FTP és tűzfal). Azonban ez nem így van, az alkotók az FTP leírás valamilyen okból úgy döntött, hogy az előnyös mód is a PORT, PASV és támogatás a kliens oldalon is felesleges.
FTP hozzáférést támogatja a bejelentkezési név és jelszó, de nem biztonságos, mert ők továbbítják szöveges formában. Amikor egy böngésző segítségével, akkor át közvetlenül az URL-be.
Példa munkamenetek segítségével aktív és passzív módok adatátviteli
Egyéni problémák:
PORT mód - FTP kliens NAT mögött vagy tűzfal
Megoldás 1. FTP kliens kell állítani, hogy passzív módban.
PASV mód - FTP szerver egy tűzfal mögött
Ha egy FTP szerver tűzfal mögött, az ügyfelek problémák lépnek fel a passzív módban csatlakozni az FTP szerverre ideiglenes portot. A leggyakoribb probléma, ha a tűzfal mögött, amely az FTP szerver csak enged kapcsolatot számos jól ismert portok és blokkolja mások.
Megoldás 1: Az adminisztrátor nyithat egy csoport portok a tűzfalon keresztül, amely a kapcsolat az FTP szerver is előfordulhat.
2. megoldás: Ha a támogatást a tűzfal, a rendszergazda lehet úgy állítani, hogy a portok automatikusan megnyílnak létrehozni passzív kapcsolatot az FTP szerver. Ez a beállítás leírtakhoz hasonló az aktív ügyfelek mögött található NAT. Így, amikor a tűzfal figyeli az FTP szerver passzív ügyfél kérésére, ideiglenesen megnyitja a megadott port a választ, csak az IP, ahonnan jött egy passzív kérelmet.
PASV mód - FTP szerver NAT mögött
PASV mód - FTP szerver mögött terheléselosztót
Megoldhatatlan probléma - tűzfalak mindkét végén
Amikor a kliens és a szerver két tűzfal mögött, amely korlátozza a bejövő kapcsolatokat kivéve csoportok ismert portok, problémák kezdődik. Ügyfél nem tudja használni az aktív üzemmód, mivel A kiszolgáló nem tud csatlakozni hozzá, és nem tudja használni passzív módban, mert nem tud csatlakozni az FTP szerverre.
Ebben az esetben meg kell változtatni a tűzfal beállításait, és jobban csinálni a szerver oldalon.
FTP szerver egy nem szabványos port
Néhány irányító készülékek képesek kezelni FTP munkamenet csak akkor, ha megérkezik a standard szerver port. Ezért, ha az FTP szerver figyel egy nem szabványos port, akkor be kell állítani a forgalomirányító készülék úgy, hogy tudta, hogy ez a port ül FTP szerver és megfelelően kezeli a kapcsolatot.
De még ebben az esetben a tűzfal kliens oldalon lehet megakadályozni. Ez akkor fordulhat elő, ha az ügyfél-oldali tűzfala mereven megköveteli az FTP adatkapcsolat az FTP szerver származó port 20 (aktív módban). Ha az FTP szerver porton fut N, akkor az FTP specifikáltuk a adatkapcsolat fog származni port N - 1, és egy tűzfal blokkolja ügyfél.
A problémák okozta tűzfal megszakítja FTP munkamenet
Ez a probléma akkor fordul elő leggyakrabban, ha át nagy fájlokat. Amikor a kapcsolat paramétereit megállapodott, és az átadás megkezdődött, a kapcsolat a parancsokat kezdődik tétlen, amíg a fájlátvitel befejeződött. Ha a forgalomirányító készülék nem tud FTP, és a fájlátvitel fog hosszabb idő, mint a számláló kapcsolatot tevékenység, akkor a kapcsolat szempontjából útválasztóeszköz elvárásokat meghaladó időt és fejeződik be, és a bejövő csomagokat eldobják.
A megoldás erre a problémára egy olyan eszköz, amely támogatja a kapcsolatot a parancsokat az aktív állapotba, bár ez nem hosszú idő, hogy továbbítja a csomagokat rajta. Egy másik lehetőség - Aktiválja a funkciót „Keep Alive” a verem TCP / IP protokoll a kliens oldalon, vagy a kiszolgáló elküldi a csomagot, hogy ellenőrizze a rendelkezésre álló rendszeres időközönként, és ha a cél nem válaszol - rendszerint lezárja a kapcsolatot. Ha a fogadó fél válaszol, a kapcsolat oldalán a tűzfal mindig aktív.