FTP的主動和被動模式

-


在沒有NAT的環境下,FTP主動和被動模式都可以成功,
在NAT的環境下,FTP只能用被動模式才可以成功,這是為什麼呢?



FTP主動模式會使用到兩個PORT,21 Port是命令使用,20 Port是傳輸資料使用,壞就壞在20 Port伺服器會主動去連用戶端,在NAT的環境下,如果路由器看到一個主動連線的封包就會丟掉了,當然永遠建不成連線。



用戶端開Port給伺服器連 , 所以 193,183就是 256*193 + 183 = 49591 。



然後伺服器會用他的20 Port主動跟用戶端 49591 Port建立連線,這也是為什麼傳輸資料會用到20 Port,但是是伺服器的 20 Port。



因為在NAT的環境下當然建不成連線。



FTP的被動模式不管是命令或是傳送資料都是用戶端主動連線的,所以都可以成功。



伺服器端會告訴用戶端我會開哪個Port , 所以 216,248就是 256*216 + 244 = 55540 。



最後由用戶端主動發一個連到伺服器的55540 Port,這個三方交握建好之後,伺服器就會用這個Port傳遞資料給用戶端。

結論:
在沒有NAT的環境下,主動模式和被動模式都可以使用,但是有NAT的環境下,就需要用被動模式,不然三方交握失敗無法建立連線傳輸資料。

(主動模式)
命令使用                     用戶端                                                                    伺服器
                            1024以上的隨機 Port      ----------------------->               21 Port
傳輸使用            1024以上用戶端開Port     <----------------------                20 Port
                                                                       (NAT模式下失敗)


(被動模式)        
命令使用                     用戶端                                                                    伺服器
                            1024以上的隨機 Port     ----------------------->                21 Port
傳輸使用            1024以上的隨機 Port+1   ---------------------->         1024以上伺服器開Port  
                                                                      (NAT模式下成功)    
     

留言

張貼留言

這個網誌中的熱門文章

FortiGate 網路基本設定

-
圖片
這是Fortigate小台型號60D,他沒有一般的USB console port,所以我們要用mini USB搭配官方軟體FortiExplorer,軟體模擬console登入。 FortiExplorer可以到官方下載, http://www.fortinet.com.tw/resource_center/product_downloads.html  。 USB和軟體都安裝好插入之後他會自動開啟。 進入Command-line Interface,主要是看出廠預設的設定檔。  edit "lan"         set vdom "root"         set ip 192.168.1.99 255.255.255.0         set allowaccess ping https ssh http fgfm capwap         set type switch         set listen-forticlient-connection enable         set snmp-index 10     next 這說明了我們可以插在lan port然後透過192.168.1.99 web介面去管理。 設定192.168.1.0/24同網段,插在lan port上然後連https://192.168.1.99,預設帳號密碼是 admin 沒密碼。 先到Netwok Interface裡面編輯Wan1,就是跟我們小烏龜接的地方,這次範例是用PPPOE撥號連線。 輸入好Hinet提供的連線方式,按下OK,這裡要特別注意一個選項 Retrieve default gateway from server ,一定要打勾,他才會把PPPOE拿到的Default Gateway寫入路由表,不然會沒有Default Gateway可以到ISP。 確實拿到一個浮動IP 111.243.63.46。 這時候其實修改Software Switch lan的內部Default Gateway IP就可以了,但是我們仔細觀察一下。 Software Switch lan裡面的成員有 wifi 和 internal。 Har
閱讀完整內容

Windows AD 架設

-
圖片
首先先改Windows Server 電腦名稱為DC01,然後重開機。 AD的架構是要透過DNS解析的,所以我們把慣用DNS伺服器指向自己 127.0.0.1 。 新增角色及功能精靈裡,點選Active Directory 網域服務。 安裝好之後點選伺服器管理員上方驚嘆號部屬後設定,來設定AD。 我們點選新增樹系,此範例的網域名稱為corpnet.lin0204.tw。 這裡可以看到因為AD的服務和DNS是綁在一起的,所以一定要安裝,DSRM是一個救援修復模式密碼可以給之後記起來,不太會用到。 NetBIOS 網域名稱預設是會取最左邊的單字,所以以此範例來說是 corpnet ,但不好識別,我們改成lin0204。 接下來就等安裝完成重開機。 我們這邊有一台用戶端電腦要加入網域,首先先把DNS指向DC01那台,不然沒辦法解析AD。 電腦名稱為PC01,加入到網域 corpnet.lin0204.tw。 加入網域必須要授權,我們給他administrator的密碼。 重開機之後,第一個畫面是登入 PC01\user 的密碼,這個是本機帳號,但我們要登入網域帳號,所以必須按切換使用者。 我們使用 netbios\帳號 的方式登入,所以是 lin0204\administrator 。 我們用指令 whoami 確定目前的電腦登入帳號為 lin0204\administrator ,並且此台用戶端電腦有加入網域。 我們回到DC01,然後使用工具,Active Directory 使用者和電腦工具。 加入網域的電腦預設會放在 Computers的容器(OU)裡,所以我們看到PC01。 網域控制站則會放在 Domain Controllers 的容器(OU)裡,所以我們看到有一台DC01。 我們前面有提到網域的架構和DNS是習習相關的,畢竟名稱解析都要靠DNS幫忙,所以加入網域的電腦名稱預設會自動登記在DNS裡,大家才解析的到。
閱讀完整內容

電腦的路由表設定

-
圖片
我們電腦的預設閘道為210.242.144.254,所以可以上網,但裡面出現一個網段 192.168.1.0/24 在 210.242.144.253那台路由器之後,可是我們沒辦法更改路由器的設定,這樣我的電腦要怎麼連到網頁伺服器呢? 我們知道只要需要路由就是看路由表,所以電腦也不例外,我們看一下電腦的路由表只有一筆預設閘道往210.242.144.254丟。 我們去內部的網頁伺服器,他確實是往預設閘道210.242.144.254丟,由於210.242.144.254沒有能去192.168.1.0/24的路由,所以他顯示目的地無法連線,而且我們用網頁瀏覽器確實也連不到。 我們知道路由器可以增加靜態路由,電腦也可以,所以我們增加一筆。 route add 192.168.1.0 mask 255.255.255.0 210.242.144.253 要去 192.168.1.0/24的網段往 210.242.144.253丟。 加完之後確實多出一條路由。 經過測試,他要往 192.168.1.1,會根據路由表往210.242.144.253丟,由於210.242.144.253有去192.168.1.1的路由,所以我們可以連到網頁伺服器。 我們剛才的加法只是增加到目前使用中的路由表中,所以關機之後會消失,每次開機都要重新打一次,如果想要重開機之後還會保存的話可以加入參數 -p 。 route add 192.168.1.0 mask 255.255.255.0 210.242.144.253 -p 這樣會加入到持續路由,就算重開機還會保存。 最後就是要上網的話會走預設閘道 210.242.144.254,但是要去網頁伺服器 192.168.1.1的話會根據路由表走 210.242.144.253,因此都會通。 最後不使用的時候也要記得把這筆路由拿掉。 route delete 192.168.1.0 結論: 在某些特殊情況下,比方說測試或是沒辦法更改路由器的設定可以使用這個方法解決,但是根本還是要透過更改路由器的路由表設定才能比較通例,不然如果很多電腦都要這樣走是不是每一台就要一筆一筆加,如果發生問題也要一台一台查,所以在沒有特殊情況下不建議更改電腦的路由表反而增加網路除錯的複雜度。
閱讀完整內容