FTP 是一种基于 TCP 的应用层协议，它不支持 UDP 协议。 FTP 工作在一种特殊的服务机制上，它使用两个端口，一个 '数据' 端口和一个 '命令' 端口(也称为控制端口)。 通常情况下，端口 21 用作命令端口，端口 20 用作数据端口。 然而，我偶然间发现，数据端口有时候并不是在端口 20 上时，这就要谈到 FTP 的被动模式了。

主动模式

在主动模式的 FTP 中，客户端从一个随机的非系统端口(N > 1023)连接到 FTP 服务器的命令端口端口 21。然后，客户端开始监听端口 N+1，并将 FTP 命令端口 N+1 告诉 FTP 服务器，“请把数据发送给我的 N+1 端口”。然后，服务器将从本地数据端口 (端口20) 连接回客户端的数据端口，也就是 N+1 端口。

因为服务器防火墙的隔离作用，我们应该确保服务器 FTP 到客户端的一下几个通道的畅通:

FTP 服务器端口 21 (接受全部客户端)

FTP 服务器端口 21 到 > 1023 的端口 ( 服务器响应客户端控制端口 )

FTP 服务器端口 20 到 > 1023 的端口 ( 服务器发起到客户端的数据端口的连接 )

从 > 1023的端口到 FTP 服务器端口 20 ( 客户端发送 ack 到服务器的数据端口 )

用图来表示这些通道：

activeftp.gif

第 1 步，客户端的命令端口与服务器的命令端口连接并发送命令端口 1027。然后，服务器在第 2 步时将一个 ACK 发送回客户端的命令端口。第 3 步，服务器在其本地数据端口上启动连接，连接到前面指定的客户端的数据端口。最后，客户端返回 ACK，如第 4 步所示。

主动模式的 FTP 主要问题实际上落在客户端。FTP 的客户端并不会主动连接到服务器的数据端口，而是是告诉服务器它正在监听哪个端口，然后服务器发起连接到客户端上指定的端口。但是，这样的连接有时候会被客户端的防火墙阻止。‘

被动模式

为了解决服务器主动发起到客户端连接会北阻止的问题，另一种更完善的工作模式出现了，它就是 FTP 的被动模式，缩写作 PASV，它工作的前提是客户端明确告知 FTP 服务器它使用被动模式。

在被动模式的 FTP 中，客户端启动到服务器的两个连接，解决了防火墙阻止从服务器到客户端的传入数据端口连接的问题。FTP 连接建立后，客户端在本地打开两个随机的非系统端口 N 和 N + 1(N > 1023)。第一个端口连接服务器上的 21 端口，但是客户端这次将会发出 PASV 命令，也就是不允许服务器连接回其数据端口。这样，服务器随后会打开一个随机的非系统端口 P (P > 1023)，并将 P 发送给客户端作为 PASV 命令的响应。然后客户端启动从端口 N+1 到端口 P 的连接来传输数据。

在被动模式中，要保持一下通道的畅通：

FTP服务器的 21 端口(接受所有客户端)

FTP服务器的 21端口到 > 1023 的远程端口 ( 服务器响应客户端控制端口 )

FTP服务器 > 1023 的端口(接受所有客户端发起的连接到服务器指定的随机端口)

FTP服务器 > 1023 的端口到 > 1023 的远程端口(服务器发送 ack 和数据到客户端数据端口)

被动模式用图表示：

passiveftp.gif

第 1 步，客户端在命令端口上与服务器连接，并发出 PASV 命令。然后，服务器在第 2 步时使用端口 2024 进行响应，告诉客户端它正在监听的数据连接端口。第 3 步，客户端启动从其数据端口到指定服务器数据端口的数据连接。最后，服务器在第 4 步将 ACK 发送回客户端的数据端口。

服务器防火墙需要给 FTP 的被动模式开放一个端口范围允许所有客户端连接，比如 5000 - 6000。

个人博客同步更新，获取更多技术分享请关注：郑保乐的博客