解決外網(wǎng)無(wú)法訪問(wèn)局域網(wǎng)的FTP服務(wù)器問(wèn)題

1、解決外網(wǎng)無(wú)法訪問(wèn)局域網(wǎng)的FTP服務(wù)器問(wèn)題 （一）打開(kāi)FTP服務(wù)器上的文件夾時(shí)發(fā)生錯(cuò)誤,請(qǐng)檢查是否有權(quán)限訪問(wèn)該文件夾在win98,winme,win2000,win2003下都能正常上傳文件夾，但在winxp+sp2下同樣的文件夾就可能出現(xiàn)問(wèn)題1、 打開(kāi)IE的菜單'工具'->'Internet 選項(xiàng)'；2、 點(diǎn)擊“高級(jí)”標(biāo)簽卡；3、 將“瀏覽”節(jié)點(diǎn)下的“使用被動(dòng)FTP（為防火墻和DSL調(diào)制解調(diào)器兼容性）”前面的勾去掉。 引用ftp協(xié)議有兩種工作方式：port方式和pasv方式，中文意思為主動(dòng)式和被動(dòng)式。 port（主動(dòng)）方式的連接過(guò)程是：客戶端向服務(wù)器的ft

2、p端口（默認(rèn)是21）發(fā)送連接請(qǐng)求，服務(wù)器接受連接，建立一條命令鏈路。當(dāng)需要傳送數(shù)據(jù)時(shí)，服務(wù)器從20端口向客戶端的空閑端口發(fā)送連接請(qǐng)求，建立一條數(shù)據(jù)鏈路來(lái)傳送數(shù)據(jù)。 pasv（被動(dòng)）方式的連接過(guò)程是：客戶端向服務(wù)器的ftp端口（默認(rèn)是21）發(fā)送連接請(qǐng)求，服務(wù)器接受連接，建立一條命令鏈路。當(dāng)需要傳送數(shù)據(jù)時(shí)，客戶端向服務(wù)器的空閑端口發(fā)送連接請(qǐng)求，建立一條數(shù)據(jù)鏈路來(lái)傳送數(shù)據(jù)。 因?yàn)閜ort方式在傳送數(shù)據(jù)時(shí)，由服務(wù)器主動(dòng)連接客戶端，所以，如果客戶端在防火墻或nat網(wǎng)關(guān)后面，用port方式將無(wú)法與internet上的ftp服務(wù)器傳送文件。這種情況需要使用pasv方式。幾乎所有的ftp客戶端軟件都支持這兩種

3、方式。特殊的典型例子是ie，ie默認(rèn)是用port方式的。如果要在ie里啟用pasv方式，請(qǐng)打開(kāi)ie，在菜單里選擇：工具 -> internet選項(xiàng) -> 高級(jí)，在“使用被動(dòng)ftp”前面打上鉤（需要ie6.0以上才支持）。（二）兩權(quán)分立的FTP工作模式，工作環(huán)境： ADSL-（50）NAT（）-PC（/FTPSERVER）。一、映射21端口到PC，PC安裝FTP服務(wù)serv-u，用serv-u是因?yàn)樗梢苑奖愕脑O(shè)置FTP的兩種工作模式。外網(wǎng)發(fā)起連接為例。 PORT方式能連接，不能列目錄 PASV方式能連接，不能列目

4、錄分析：FTP支持兩種模式。這兩種模式被稱為“標(biāo)準(zhǔn)”（或PORT，或“主動(dòng)”）和“被動(dòng)”（或 PASV）?！皹?biāo)準(zhǔn)”模式FTP客戶端會(huì)向FTP服務(wù)器發(fā)送PORT命令?！氨粍?dòng)”模式客戶端會(huì)向 FTP服務(wù)器發(fā)送PASV命令。這些命令是在建立FTP會(huì)話時(shí)通過(guò)FTP命令通道進(jìn)行發(fā)送的。 2種模式FTP客戶端都要建立一個(gè)到FTP服務(wù)器上TCP端口21的連接?？蛻暨x擇大于 1024的端口發(fā)起連接，此連接會(huì)建立FTP命令通道。不能列目錄是因?yàn)镕TP使用不同的通道來(lái)傳遞數(shù)據(jù)，這也是FTP不同于HTTP服務(wù)的地方，HTTP需要一條通道就可以了二、再映射20端口到PC，serv-u默認(rèn)的方式就是PORT方式。 PO

5、RT方式能連接、也能列目錄、能下載文件 PASV方式能連接、不能列目錄下載文件分析：PORT方式：當(dāng)FTP客戶端需要接收數(shù)據(jù)（如文件夾列表或者文件）時(shí)，客戶端就會(huì)通過(guò) FTP命令通道發(fā)送PORT命令。此PORT命令包含了FTP客戶端在哪個(gè)端口（比如3328）上接收數(shù)據(jù)的相關(guān)信息。接下來(lái)，PC從TCP端口20發(fā)起到3328用戶端口的連接，而這是一個(gè)新的連接，也許客戶端防火墻會(huì)攔截?？梢钥闯鍪欠?wù)器用20端口“主動(dòng)”連接客戶指定的端口，所以PORT方式也叫主動(dòng)方式。該模式下有2個(gè)特點(diǎn)：1客戶是動(dòng)態(tài)的端口，而服務(wù)器使用的是固定端口20，而且是服務(wù)器發(fā)起主動(dòng)新連接。2在FTP客戶連接服務(wù)器的整個(gè)過(guò)程中

6、，控制信道是一直保持連接的，而數(shù)據(jù)傳輸通道是臨時(shí)建立的。 PASV方式不能到達(dá)是因?yàn)镻ASV要求服務(wù)器用動(dòng)態(tài)的端口來(lái)連接，而這個(gè)端口一般在1024-5000之間，而且是用戶發(fā)起連接，雖然PC開(kāi)了此端口等待連接，但是NAT并沒(méi)有映射這么多端口，所以通訊中斷。三、關(guān)閉20端口映射，再映射10001-10004到PC， PORT方式能連接、不能列目錄、不能下載文件 PASV方式能連接、不能列目錄、不能下載文件 serv-u真的很帥，在設(shè)置（高級(jí)）選項(xiàng)中設(shè)置10001-10004，然后啟動(dòng)被動(dòng)模式，這樣就可以建立連接了。分析：這個(gè)實(shí)驗(yàn)的過(guò)程和分析被微軟收錄到微軟的官方網(wǎng)站上，不過(guò)通過(guò)我的實(shí)驗(yàn)，發(fā)現(xiàn)他有

7、個(gè)理解不全面的的地方，原因是他直接在可以見(jiàn)面的2臺(tái)計(jì)算機(jī)上做的實(shí)驗(yàn)，而我把他們用NAT分開(kāi)來(lái)做，更能看出問(wèn)題。問(wèn)題出在所謂的“協(xié)商過(guò)程”，原文是這樣的： “發(fā)送PASV指令，在這個(gè)指令中，用戶告訴服務(wù)器自己要連接服務(wù)器的某一個(gè)端口，如果這個(gè)服務(wù)器上的這個(gè)端口是空閑的可用的，那么服務(wù)器會(huì)返回ACK的確認(rèn)信息，之后數(shù)據(jù)傳輸通道被建立并返回用戶所要的信息（根據(jù)用戶發(fā)送的指令，如ls、dir、get等）；如果服務(wù)器的這個(gè)端口被另一個(gè)資源所使用，那么服務(wù)器返回UNACK的信息，那么這時(shí)，F(xiàn)TP客戶會(huì)再次發(fā)送PASV命令，這也就是所謂的連接建立的協(xié)商過(guò)程”其實(shí)我抓到的報(bào)文是這樣的：1serv-u在設(shè)置PA

8、SV方式是可以指定端口，而且端口被立即啟動(dòng)到監(jiān)聽(tīng)狀態(tài)，比如我設(shè)置是10001 -10004，可以用有關(guān)軟件“看到”這些端口已經(jīng)被置為監(jiān)聽(tīng)。2當(dāng)客戶端通過(guò)該命令通道發(fā)送PASV命令時(shí)，F(xiàn)TP服務(wù)器會(huì)打開(kāi)一個(gè)短暫的端口，并通知FTP客戶端從該端口請(qǐng)求數(shù)據(jù)傳輸，而不是協(xié)商解決。FTP服務(wù)器通過(guò)將該短暫端口用作，數(shù)據(jù)傳輸?shù)脑炊丝趤?lái)對(duì)該請(qǐng)求作出響應(yīng)。顯然，這個(gè)連接是由用戶發(fā)起的，過(guò)也叫被動(dòng)方式。3在FTP客戶連接服務(wù)器的整個(gè)過(guò)程中，控制信道是一直保持連接的，而數(shù)據(jù)傳輸通道是臨時(shí)建立的。4端口在1024-5000之間，不要大于5000，為什么呀，我也不知道，因?yàn)槲以O(shè)置5000以上就不能建立TCP連接，實(shí)際

9、是這樣理論我也不知道。我沒(méi)有用其它軟件做FTP服務(wù)器，不能確定是否有協(xié)商過(guò)程，如果FTP這么弱智，那要協(xié)商到什么時(shí)候，不如直接告訴客戶不就行了。缺點(diǎn)是端口有限，如果多個(gè)用戶同時(shí)連接，這幾個(gè)端口是不夠的。四、解決PASV問(wèn)題的辦法：不能傳數(shù)據(jù)的問(wèn)題出在：服務(wù)器向客戶端傳送了IP。當(dāng)FTP客戶端登錄進(jìn)入服務(wù)器的時(shí)候，PASV模式服務(wù)器會(huì)向客戶端傳送本機(jī)的IP地址和數(shù)據(jù)端口，當(dāng)服務(wù)器放在內(nèi)網(wǎng)中的時(shí)候，服務(wù)器會(huì)向客戶端返回內(nèi)網(wǎng)的IP，這當(dāng)然是不能完成連接的，需要讓服務(wù)器返回外網(wǎng)的地址。幸好，還是有一個(gè)好消息，就是serv-u本身具有返回外網(wǎng)地址這樣的功能，方法是先選中新建FTP 服務(wù)器的屬性，在dom

10、ain標(biāo)簽里選擇“enabledynamicdns”，此時(shí)會(huì)出現(xiàn)第二個(gè)標(biāo)簽，叫 “dynamicdns”，然后到申請(qǐng)動(dòng)態(tài)域名，申請(qǐng)后會(huì)得到一個(gè)key，在此標(biāo)簽中填入此key即可。最后一步，是到新建服務(wù)器的settings屬性中，選擇advanced標(biāo)簽，選中“allowpassive modedatatransfer”，旁邊的IP地址框留空。這個(gè)框?qū)τ趽芴?hào)用戶不用填，只有出口使用固定地址才需要填。這樣，serv-u向客戶端返回IP和端口前，會(huì)先向查詢到ISA外網(wǎng)的地址，再發(fā)送給客戶端?？偨Y(jié)：采用什么方式是由用戶決定的，而主動(dòng)和被動(dòng)之說(shuō)是相對(duì)服務(wù)器而言。在FTP客戶連接服務(wù)器的整個(gè)過(guò)程中，控制信

11、道是一直保持連接的，而數(shù)據(jù)傳輸通道是臨時(shí)建立的。主動(dòng)方式下是服務(wù)器以20端口發(fā)起連接，而被動(dòng)方式下服務(wù)器告訴客戶一個(gè)動(dòng)態(tài)端口，由客戶發(fā)起連接。如果你使用FTP客戶端程序是只能登錄不能傳數(shù)據(jù)，不妨換一種工作模式，當(dāng)然需要服務(wù)器支持。關(guān)于防火墻對(duì)外網(wǎng)用戶而言，你的防火墻如果不接受主動(dòng)連接，麻煩大了：標(biāo)準(zhǔn)模式FTP客戶端無(wú)法在此環(huán)境中運(yùn)行，因?yàn)镕TP服務(wù)器必須向FTP客戶端發(fā)出新的連接請(qǐng)求。對(duì)服務(wù)器而言，防火墻管理員可能不希望使用PASVFTP服務(wù)器，因?yàn)镕TP服務(wù)器可以打開(kāi)任何短暫端口號(hào)，如果防火墻配置允許未經(jīng)請(qǐng)求的連接完全訪問(wèn)所有的短暫端口，則可能會(huì)是不安全的。小技巧，IE默認(rèn)使用主動(dòng)方式發(fā)起連接，要想使用被動(dòng)方式，需要設(shè)置 IE-工具-Internet選項(xiàng)-高級(jí)在瀏覽下面，單擊“為FTP站點(diǎn)啟用文件夾視圖”復(fù)選框，將其清除。單擊“使用被動(dòng)FTP（為防火墻和DSL調(diào)制解調(diào)器兼容性）”復(fù)選框