基礎 
FTP是僅基于TCP的服務，不支持UDP。 與眾不同的是FTP使用2個端口，一個數據端口和一個命令端口（也可叫做控制端口）。通常來說這兩個端口是21－命令端口和20－數據端口。但當我們發現根據（FTP工作）方式的不同數據端口并不總是20時，混亂產生了。

主動FTP 
主動方式的FTP是這樣的：客戶端從一個任意的非特權端口N（N>;1024）連接到FTP服務器的命令端口，也就?21端口。然后客戶端開始監聽端口N+1，并發送FTP命令“port N+1”到FTP服務器。接著服務器會從它自己的數據端口（20）連接到客戶端指定的數據端口（N+1）。

針對FTP服務器前面的防火墻來說，必須允許以下通訊才能支持主動方式FTP： 
任何端口到FTP服務器的21端口 （客戶端初始化的連接 S<-C） 
FTP服務器的21端口到大于1023的端口（服務器響應客戶端的控制端口 S->C） 
FTP服務器的20端口到大于1023的端口（服務器端初始化數據連接到客戶端的數據端口 S->C） 
大于1023端口到FTP服務器的20端口（客戶端發送ACK響應到服務器的數據端口 S<-C）

畫出來的話，連接過程大概是下圖的樣子： 
 

在第1步中，客戶端的命令端口與FTP服務器的命令端口建立連接，并發送命令“PORT 1027”。然后在第2步中，FTP服務器給客戶端的命令端口返回一個"ACK"。在第3步中，FTP服務器發起一個從它自己的數據端口（20）到客戶端先前指定的數據端口（1027）的連接，最后客戶端在第4步中給服務器端返回一個"ACK"。

主動方式FTP的主要問題實際上在于客戶端。FTP的客戶端并沒有實際建立一個到服務器數據端口的連接，它只是簡單的告訴服務器自己監聽的端口號，服務器再回來連接客戶端這個指定的端口。對于客戶端的防火墻來說，這是從外部系統建立到內部客戶端的連接，這是通常會被阻塞的。

主動FTP的例子 
下面是一個主動FTP會話的實際?子。當然服務器名、IP地址和用戶名都做了改動。在這個例子中，FTP會話從 testbox1.slacksite.com (192.168.150.80)，一個運行標準的FTP命令行客戶端的Linux工作站，發起到testbox2.slacksite.com (192.168.150.90)，一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging（-d）選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息，顯示的是發送到服務器的實際FTP命令和所產生的回應信息。服務器的輸出信息用黑色字表示，用戶的輸入信息用粗體字表示。

仔細考慮這個對話過程我們會發現一些有趣的事情。我們可以看到當 PORT 命令被提交時，它指定了客戶端(192.168.150.80)上的一個端口而不是服務器的。當我們用被動FTP時我們會看到相反的現象。我們再來關注PORT命令的格式。就象你在下面的例子看到的一樣，它是一個由六個被逗號隔開的數字組成的序列。前四個表示IP地址，后兩個組成了用于數據連接的端口號。用第五個數乘?256再加上第六個數就得到了實際的端口號。下面例子中端口號就是( (14*256) + 178) = 3762。我們可以用netstat來驗證這個端口信息。

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 
Connected to testbox2.slacksite.com. 
220 testbox2.slacksite.com FTP server ready. 
Name (testbox2:slacker): slacker 
---> USER slacker 
331 Password required for slacker. 
Password: TmpPass 
---> PASS XXXX 
230 User slacker logged in. 
---> SYST 
215 UNIX Type: L8 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> ls 
ftp: setsockopt (ignored): Permission denied 
---> PORT 192,168,150,80,14,178 
200 PORT command successful. 
---> LIST 
150 Opening ASCII mode data connection for file list. 
drwx------   3 slacker    users         104 Jul 27 01:45 public_html 
226 Transfer complete. 
ftp> quit 
---> QUIT 
221 Goodbye.

被動FTP 
為了解決服務器發起到客戶的連接的問題，人們開發了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知服務器它處于被動模式時才啟用。

在被動方式FTP中，命令連接和數據連接都由客戶端，這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時，客戶端打開兩個任意的非特權本地端口（N >; 1024和N+1）。第一個端口連接服務器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令并允許服務器來回連它的數據端口，而是提交PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口（P >; 1024），并發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。

對于服務器端的防火墻來說，必須允許下面的通訊才能支持被動方式的FTP: 
從任何端口到服務器的21端口 （客戶端初始化的連接 S<-C） 
服務器的21端口到任何大于1023的端口 （服務器響應到客戶端的控制端口的連接 S->C） 
從任何端口到服務器的大于1023端口 （入；客戶端初始化數據連接到服務器指定的任意端口 S<-C） 
服務器的大于1023端口到遠程的大于1023的端口（出；服務器發送ACK響應和數據到客戶端的數據端口 S->C）

畫出來的話，被動方式的FTP連接過程大概是下圖的樣子： 
 

在第1步中，客戶端的命令端口與服務器的命令端口建立連接，并發送命令“PASV”。然后在第2步中，服務器返回命令"PORT 2024"，告訴客戶端（服務器）用哪個端口偵聽數據連接。在第3步中，客戶端初始化一個從自己的數據端口到服務器端指定的數據端口的數據連接。最后服務器在第4 步中給客戶端的數據端口返回一個"ACK"響應。

被動方式的FTP解決了客戶端的許多問題，但同時給服務器端帶來了更多的問題。最大的問題是需要允許從任意遠程終端到服務器高位端口的連接。幸運的是，許多FTP守護程序，包括流行的WU-FTPD允許管理員指定FTP服務器使用的端口范圍。詳細內容參看附錄1。 

第二個問題是客戶端有的支持被動模式，有的不支持被動模式，必須考慮如何能支持這些客戶端，以及為他們提供解決辦法。例如，Solaris提供的FTP命令行工具就不支持被動模式，需要第三方的FTP客戶端，比如ncftp。

隨著WWW的廣泛流行，許多人習慣用web瀏覽器作為FTP客戶端。?多數瀏覽器只在訪問ftp://這樣的URL時才支持被動模式。這到底是好還是壞取決于服務器和防火墻的配置。

被動FTP的例子 
下面是一個被動FTP會話的實際例子，只是服務器名、IP地址和用戶名都做了改動。在這個例子中，FTP會話從 testbox1.slacksite.com (192.168.150.80)，一個運行標準的FTP命令行客戶端的Linux工作站，發起到testbox2.slacksite.com (192.168.150.90)，一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging（-d）選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息，顯示的是發送到服務器的實際FTP命令和所產生的回應信息。服務器的輸出信息用黑色字表示，用戶的輸入信息用粗體字表示。

注意此例中的PORT命令與主動FTP例子的不同。這里，我們看到是服務器(192.168.150.90)而不是客戶端的一個端口被打開了。可以跟上面的主動FTP例子中的PORT命令格式對比一下。

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2 
Connected to testbox2.slacksite.com. 
220 testbox2.slacksite.com FTP server ready. 
Name (testbox2:slacker): slacker 
---> USER slacker 
331 Password required for slacker. 
Password: TmpPass 
---> PASS XXXX 
230 User slacker logged in. 
---> SYST 
215 UNIX Type: L8 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> passive 
Passive mode on. 
ftp> ls 
ftp: setsockopt (ignored): Permission denied 
---> PASV 
227 Entering Passive Mode (192,168,150,90,195,149). 
---> LIST 
150 Opening ASCII mode data connection for file list 
drwx------   3 slacker    users         104 Jul 27 01:45 public_html 
226 Transfer complete. 
ftp>; quit 
---> QUIT 
221 Goodbye.

總結 
下面的圖表會幫助管理員們記住每種FTP方式是怎樣工作的：

主動FTP： 
   命令連接：客戶端 >1023端口 -> 服務器 21端口 
   數據連接：客戶端 >1023端口 <- 服務器 20端口 

被動FTP： 
   命令連接：客戶端 >1023端口 -> 服務器 21端口 
   數據連接：客戶端 >1023端口 -> 服務器 >1023端口 

下面是主動與被動FTP優缺點的簡要總結： 

主動FTP對FTP服務器的管理有利，但對客戶端的管理不利。因為FTP服務器企圖與客戶端的高位隨機端口建立連接，而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利，但對服務器端的管理不利。因為客戶端要與服務器端建立兩個連接，其中一個連到一個高位隨機端口，而這個端口很有可能被服務器端的防火墻阻塞掉。

幸運的是，有折衷的辦法。既然FTP服務器的管理員需要他們的服務器有最多的客戶連接，那么必須得支持被動FTP。我們可以通過為FTP服務器指定一個有限的端口范圍來減小服務器高位端口的暴露。這樣，不在這個范圍的任何端口會被服務器的防火墻阻塞。雖然這沒有消除所有針對服務器的危險，但它大大減少了危險。