Что делать, если не работает проброс портов? (для версий NDMS 2.11 и более ранних)
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «Что делать, если не работает переадресация портов?».
При настройке проброса (открытия) портов в NAT необходимо наличие «белого» глобального (публичного) IP-адреса на WAN-интерфейсе интернет-центра, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе устройства используется «серый» IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.
Чтобы проверить работоспособность проброса портов обратитесь к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. начиная с версии 2.01 в Keenetic был добавлен механизм NAT Loopback.
Вы можете воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов.
Важно! Сервис или приложение, на которое осуществляется проброс портов, должно быть запущено, чтобы при проверке порт виделся как «открытый». Например, если FTP-сервер не запущен, а правило NAT для проброса порта имеется, статус порта при проверке будет «закрыт».
Ниже указаны типовые причины, которые могут привести к неработоспособности проброса портов, несмотря на правильную настройку данной функции в интернет-центре.
1. В настройках Безопасность > Трансляция сетевых адресов (NAT) выбран неправильный интерфейс. Нужно выбрать именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется осуществлять доступ к устройству домашней сети.
Если вы подключены к Интернет по выделенной линии Ethernet без авторизации или с авторизацией 802.1x, используйте интерфейс Broadband connection (ISP)
2. На компьютере используется межсетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите межсетевой экран и проверьте работоспособность проброса портов.
3. Некоторые провайдеры в своей сети используют «скрытый NAT». Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.net. Если сервис определил у вас адрес отличный, от того который был настроен на WAN-интерфейсе Keenetic, в этом случае проброс портов работать не будет.
4. Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам (например, фильтрацию по 21/FTP, 80/HTTP, 25/POP3 и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.
Если существует такая возможность, нужно изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта 21 у провайдера на FTP-сервере можно использовать порт 2121).
Если же нет возможности изменить номер порта сервиса, можно в Keenetic в настройке трансляции адресов NAT использовать «подмену порта» (маппинг порта). Например:
В поле Протокол нужно установить значение TCP, а в поле Порты TCP/UDP указать требуемый внешний номер порта (например, 2121).
Таким образом, пользователи из Интернета будут обращаться по порту 2121, а интернет-центр будет эти запросы перенаправлять на сервер, который работает по порту 21.
Эту же настройку можно выполнить через интерфейс командной строки (CLI) интернет-центра, выполнив команды:
<config> ip stаtic tcp ISP 2121 192.168.1.59 21
<config> system configuration save
5.
В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию 192.168.1.1). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу интернет-центра Keenetic.
6. В интернет-центрах с ОС NDMS V2 функция NAT Loopback была добавлена, начиная с версии V2.01(xxxx)B20. Если в вашем устройстве используется более ранняя версия, то в ней отсутствует поддержка NAT Loopback. Выполните обновление компонентов системы. Процедура обновления компонентов NDMS для интернет-центров серии Keenetic представлена в статье: «Установка компонентов операционной системы NDMS через веб-интерфейс»
7. Начиная с версии операционной системы NDMS 2.08 изменилась логика работы NAT для соответствия с документом RFC 4787 «Network Address Translation (NAT) Behavioral Requirements for Unicast UDP».
В частности, изменение касается прохождения UDP-трафика. Теперь по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это изменение может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В связи с этим, в интерфейсе командной строки (CLI) интернет-центра была добавлена специальная команда, возвращающая предыдущие настройки:
<config> system configuration save
Если указанные рекомендации не помогут и по какой-то причине проброс портов так и не будет работать, следует обратиться в нашу службу технической поддержки, приложив файл конфигурации, файл диагностики и логов (системный журнал). Информацию о том, как это сделать, можно найти в статье: «Сохранение файла конфигурации, логов системного журнала и файла диагностики»
Примечание
Начиная с микропрограммы NDMS v2.
KeenDNS — это удобный сервис доменных имен для удаленного доступа.
C помощью сервиса KeenDNS можно решить 2 задачи:
KB-5189
Порт — что это такое?
Весьма вероятно, что вы встречались с выражениями типа «у меня на работе закрыт такой-то порт, не могу запустить ICQ». Или «не могу отправить почту, провайдер закрыл 25ый порт». Попробую на пальцах объяснить, что это за зверь такой — порт.
Интернет — это не только коллекция Web-страниц, вроде той, что вы читаете в
данный момент. Есть программы мгновенного обмена сообщениями, есть файлообменные сети, и зачастую один
сервер в интернете предоставляет одновременно сервисы различного типа. Чтобы он
мог легко отличать запросы к разным сервисам друг от друга, клиент указывает
(автоматически, за вас это делает программа, которой вы пользуетесь) не только
IP-адрес сервера, но и «тип протокола» и, в случае наиболее
распространенных протоколов TCP и UDP, номер порта.
Порт — это всего лишь число, указываемое при запросе на соединение. Никаких физических портов не существует. Однако имеются так называемые стандартные порты, соглашения об использовании, которых все стараются придерживаться. Приведу таблицу с наиболее распространенными портами (сейчас я говорю о TCP портах).
| Номер | Название | Описание |
|---|---|---|
| 80 | http | Просмотр Web-страниц. Вот сейчас, читая эту страницу, вы установили соединение по 80му порту. Наши браузеры настроены на автоматическое использование 80го порта (если специально не указать иное). Кстати, название протокола (http) вы видите наверху, в адресной строке. |
| 443 | https | Шифрованный протокол просмотра Web-страниц, используется, например, при платежах через интернет |
| 110 | pop3 | Протокол получения писем программами вроде Outlook Express |
| 995 | pop3s | Его шифрованный брат, пока встречал только у почты от Google |
| 25 | smtp | Отправка писем теми же программами |
| 465 | smtps | Опять-таки его шифрованная версия, тоже используется почтой Google |
| 20,21 | ftp | TCP порт протокола нешифрованного скачивания данных |
| 23 | telnet | Нешифрованное подсоединение к удаленным компьютерам в командной строке |
| 22 | ssh | Его шифрованная версия, имеющая кучу дополнительных опций |
Полный список можно найти, например, вот тут
Теперь нужно прояснить некоторые понятия, касающиеся портов.
Есть порт НА
который устанавливается соединение и порт С которого устанавливается
соединяется. Все стандартные порты, о которых мы говорили выше — это порты, НА
которые устанавливается соединение. А в момент установки соединения генерируется
некоторое случайное число, которое далее является портом С которого установили
соединение. Оно используется в дальнейшем автоматически при обмене данными.
Что более существенно — то, что порты бывают «входящие» и «исходящие» (я буду говорить далее только о портах, НА которые создается соединение). Исходящий порт — это когда вы инициируете соединение, например, на 80ый порт для просмотра Web-страницы. Входящий — когда к вашему компьютеру обращается кто-то извне. В большинстве случаев вам этого не нужно, но некоторые файлообменные сети и способы скачивания файлов (вроде ftp) существенно лучше работают, если можно обратиться к вашему компьютеру извне к определенному порту. Однако это будет работать только если у вас реальный IP-адрес.
Теперь можно более грамотно ответить на вопрос, что есть закрытые порты, и
что с этим делать.
Что делать в таком случае? Самое логичное — обращаться к провайдеру с просьбой этот порт открыть. Это именно ваш провайдер обрезает исходящие запросы на этот порт, и никто другой вам это ограничение не снимет. Второй вариант — настраивать так называемое туннелирование в обход ограничений провайдера, но это — значительно сложнее. Также если речь идет именно об электронной почте, можно просто перестать использовать почтовые клиенты и начать использовать Web-интерфейс, хотя, признаюсь, мне этот способ не нравится.
Но прежде чем писать обращение к провайдеру, стоит убедиться в том, что
источник проблемы — не на вашем компьютере. Посмотрите, не установлены ли у вас
какие-либо программы, блокирующие трафик по определенным портам TCP или UDP.
Попробуйте их
на секунду отключить, а также отключить антивирусные программы. Но не советую
оставлять их выключенными — вы можете нарушить безопасность компьютера.
И еще раз пара слов о входящих портах. Они вам понядобятся, если вы сервер на своем компьютере или если вы пользуютесь файлообменными сетями типа торрента. В этом случае стоит позаботиться о том, чтобы у вас был реальный IP-адрес — обычно провайдеры предоставляют эту услугу за символическую плату. Далее опять-таки стоит проверить, не устанавливлено ли у вас программ, блокирующих соединения по каким-либо портам. Но даже если у вас таких программ нет, то блокировать соединения может брандмауэр Windows. Доступ к его настройкам находится в меню пуск, панель управления.
Please enable JavaScript to view the comments powered by Disqus. comments powered byКак открыть порт в Linux CentOS 7 с помощью firewalld?
Файрвол и отсутствие соединения
Итак, вы купили VDS (виртуальный сервер), установили какой-то сервис, например ftp (File Transfer Protocol — протокол передачи файлов) и у вас не проходят
соединения на сервер из внешней сети Интернет, но локально в консоли всё работает.
Это означает, что порт скорее всего закрыт файрволом от внешних соединений в целях безопасности.
Почему так происходит
По умолчанию большинство портов закрыто межсетевым краном от внешних соединений в целях безопасности. Системный администратор должен стараться по-максимуму ограничивать доступ к сервисам из вне. Например, в большинстве случаев доступ к СУБД (Система управления базами данных) закрыт для внешних IP-адресов. Если какому-то серверу из вне нужен доступ, то его открывают только для заданного IP-адреса или подсети. Разумно ограничить доступы межсетевым экраном ко всем внутренним службам, которые не должны быть доступны любому пользователю Интернет.
Установка firewalld
firewall-cmd --state #смотрим состояние файрвол, если файрвола нет, то устанавливаем его yum install firewalld #скорее всего он у вас уже установлен systemctl enable firewalld #включаем автоматический запуск фарвол. Это нужно, чтобы он запускался после перезагрузки сервера.systemctl start firewalld #запускаем файрвол firewall-cmd --list-all #смотрим настройки public (active) target: default icmp-block-inversion: no interfaces: ens3 sources: services: dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
systemctl start firewalld #запускаем файрвол
firewall-cmd --list-all #смотрим настройки
public (active)
target: default
icmp-block-inversion: no
interfaces: ens3
sources:
services: dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Как проверить, что порт закрыт именно файрволом?
systemctl stop firewalld #отключаем файрволл и проверяем есть ли соединение из вне systemctl start firewalld #включаем файрвол
Открываем порт для внешних соединений всем пользователям
firewall-cmd --add-port=21/tcp firewall-cmd --remove-port=21/tcp #эту команду используйте, чтобы закрыть порт
Это очевидный, но не самый лучший вариант. Он подойдёт вам, если нужно открыть какой-то конкретный порт. Если же задача разрешить сервис, то лучше подойдёт команда:
firewall-cmd --add-service=ftp firewall-cmd --get-services #эта команда выводит список всех возможных сервисов, которые можно добавлять в файрвол firewall-cmd --remove-service=ftp #эту команду используйте, чтобы закрыть службу
Пока эти команды только изменили текущую конфигурацию файрвола, но эти настройки не вступили в силу.
Чтобы они заработали, нужно перезагрузить файрвол мягко без разрыва текущих соединений.
firewall-cmd --reload #перезагружаем без разрыва текущих соединений firewall-cmd --complete-reload #сбросит и текущие соединения firewall-cmd --list-all #смотрим настройки public (active) target: default icmp-block-inversion: no interfaces: ens3 sources: services: dhcpv6-client ftp ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks:
И если эти настройки нам нужны постоянно, то есть и после перезагрузки сервера, то нужно их сохранить.
firewall-cmd --runtime-to-permanent #делаем текущие настройки постоянными
При выполнении команд можно использовать опцию —permanent, чтобы настройки сразу сохранялись глобально. Но лучше так не делать, потому что вы не можете быть на 100% уверены,
что ваши команды приведут к задуманному результату. Поэтому вы сначала добавляете настройки в текущую конфигурацию, перезагружаете файрвол, проверяете, что всё работает как требуется и
только после тестирования сохраняете настройки глобально.
Важно, конечно, не забыть их сохранить, а то после перезагрузки сервера будут проблемы.
Кстати, это распространённая ошибка системных администраторов, что сервер не устойчив к перезагрузкам. Некоторые системные администраторы любят хвастаться UPTIME в не сколько лет. Но у этого есть и обратная сторона, что они не могут быть уверены, что какие-то их команды не носят временный характер до ближайшей перезагрузки.
Открываем сервис для внешних соединений пользователям из заданной подсети
firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="ftp" accept'
Различные приемы сканирования портовКак новичок в автомобильном деле, я могу часами биться в попытках использовать свои элементарные инструменты
(молоток, клейкая лента, гаечный ключ и т.д.) для решения какой-либо проблемы. Когда все мои попытки с крахом
проваливаются, и я буксирую свою развалюху к настоящему механику, он неизменно достает из большой коробки с интрументами
какую-нибудь штуковину, и сразу складывается впечатление, что решение проблемы не требует много усилий. Большинство типов сканирования доступны только привилегированным пользователям, потому что посылаются и принимаются сырые пакеты, что требует прав пользователя root на Unix системах. Под Windows рекомендуется работать с учетной записью
администратора, хотя иногда Nmap работает и с непривилегированными пользователя, когда в ОС уже загружена утилита
WinPcap. Требование root привилегий было серьезным ограничением, когда Nmap была выпущена в свет в 1997, т. Когда Nmap предпринимает попытку выдать правильные результаты, надо иметь ввиду, что вся информация базируется
на пакетах, возвращенных целевыми машинами (или брандмауэром перед ними). Такие хосты могут быть ненадежными и
посылать ответы с целью ввести Nmap в забдуждение. Намного более распространным случаем являются не совместимые с
RFC хосты, которые отвечают на запросы Nmap не так, как должны. Сканирования типа FIN, NULL и Xmas наиболее
восприимчивы к такого рода проблемам. В этом разделе описываются около дюжины способов сканирования портов поддерживаемых Nmap. В любой момент времени
вы можете использовать только один метод; исключение составляет UDP сканирование (
|
Искусство
сканирования портов очень на это похоже. Эксперты понимают дюжины различных приемов сканирования портов и выбирают для конкретной задачи подходящий (или комбинацию из нескольких). Неопытные пользователи и script kiddies, пытаются решить все задачи с помощью используемого по умолчанию SYN сканирования. Т.к. Nmap является бесплатной, то
единственным барьером на пути к овладению техникой сканирования портов является знание. Это все же лучше чем в мире
автомобилей, где, когда вам наконец-то удается определить, что вам необходимо какое-либо устройство, вам еще надо
будет заплатить за него тысячу долларов.
к. многие
пользователи имели доступ только к разделяемым аккаунтам. Сейчас мир изменился. Компьютеры стали дешевле, многие
пользователи имеют постоянный доступ в Интернет, а Unix системы для домашних компьютеров (включая Linux и Mac OS X)
теперь широко распространены. Также теперь доступна Windows версия Nmap, что позволяет запускать ее на еще большем
количестве компьютеров. По этим причинам, пользователям нет необходимости запускать Nmap с разделяемых аккаунтов.
Это большая удача, т.к. функции требующие привилегированного доступа делают Nmap намного более мощной и гибкой.
Такие сложности специфичны только для определенных типов сканирования, и поэтому
обсуждаются в посвященных им разделах.
Среди описанных ниже типов сканирования,
непривилегированные пользователи могут осуществлять только сканирование с использованием соединения и FTP bounce
сканирование.
к. вы не открываете
полного TCP соединения. Вы посылаете SYN пакет, как если бы вы хотели установить реальное соединение и ждете. Ответы
SYN/ACK указывают на то, что порт прослушивается (открыт), а RST (сброс) на то, что не прослушивается. Если после
нескольких запросов не приходит никакого ответа, то порт помечается как фильтруемый. Порт также помечается как
фильтруемый, если в ответ приходит ICMP сообщение об ошибке недостижимости (тип 3, код 1,2, 3, 9, 10 или 13).
Это такой же высокоуровневый системный вызов, используемый браузерами,
P2P клиентами и другими приложениями для установки соединения. Этот вызов является частью программируемого интерфейса,
известного как Berkeley Sockets API. Вместо того, чтобы считывать ответы в форме сырых пакетов, Nmap использует этот
API для получения информации о статусе каждой попытки соединения.
Многие службы на вашей Unix системе будут добавлять запись в системный лог (syslog), а также сообщение об ошибке,
когда Nmap будет устанавливать и закрывать соединение без отправления данных. Некоторые службы даже аварийно завершают
свою работу, когда это происходит, хотя это не является обычной ситуацией. Администратор, который увидит в логах
группу записей о попытке установки соединения от одной и той же системы, должен знать, что его машина подверглась
такому типу сканирования.
Открытые и фильтруемые порты редко
посылают какие-либо ответы, заставляя Nmap отправлять повторные запросы, на случай если пакеты были утеряны. Закрытые
порты часто оказываются еще большей проблемой. Обычно они в ответ возвращают ICMP ошибку о недостижимости порта. Но в
отличии от RST пакетов отсылаемых закрытыми TCP портами в ответ на SYN или сканирование с установкой соединения, многие
хосты ограничивают лимит
ICMP сообщений о недостижимости порта по умолчанию. Linux и Solaris особенно строги в этом плане. Например, ядро
Linux 2.4.20 огранивает количество таких сообщений до одного в секунду (в 
Т.к. ни один из этих битов не установлен, то любая комбинация трех оставшихся (FIN, PSH и URG) будет являться
правильной. Nmap использует это в трех типах сканирования:
Еще одним преимуществом является то, что
они даже чуть более незаметны, чем SYN сканирование. Все же не надо на это полагаться — большинство современных IDS
могут быть сконфигурированы на их обнаружение. Большим недостатком является то, что не все системы следуют RFC 793
дословно. Некоторые системы посылают RST ответы на запросы не зависимо от того, открыт порт или закрыт. Это приводит
к тому, что все порты помечаются как 
Он
используются для выявления правил брандмауэров, определения учитывают ли он состояние или нет, а также для определения
фильтруемых ими портов.
Это осуществляется путем анализа
TCP Window поля полученного в ответ RST пакета. В некоторых системах открытые порты используют положительное значение
этого поля (даже в RST пакетах), а закрытые — нулевое. Поэтому вместо того, что все время при получении RST пакета в
ответ помечать порты как 
Иногда, системы будут вести себя прямо противоположным образом. Если в результате сканирования будет
найдено 1000 открытых портов и 3 закрытых или фильтруемых, то как раз эти 3 могут оказаться действительно открытыми.
С помощью опции 
Nmap будет осуществлять
заданный тип сканирования, но используя указанные вами TCP флаги вместо стандартных. Если вы не указываете тип
сканирования, то по умолчанию будет использоваться SYN.
org/book/idlescan.html.
Поэтому он
достаточно близок к сканированию портов и описывается здесь.
Заголовки обычно пустые, не содержащие никаких данных и даже правильного заголовка для требуемого протокола.
Исключениями явлются TCP, UDP и ICMP. Включение правильного заголовка для этих протоколов необходимо, т.к. в обратном
случае некоторые системы не будут их отсылать, да и у Nmap есть все необходимые функции для их создания. Вместо того,
чтобы ожидать в ответ ICMP сообщение о недостижимости порта, этот тип сканирования ожидает ICMP сообщение о
недостижимости протокола. Если Nmap получает любой ответ по любому протоколу, то протокол
помечается как 
Если вы просто пытаетесь замести следы, то вам нет необходимости (и, фактически,
не следует) ограничивать себя только хостами целевой сети. Перед тем как вы начнете сканировать произвольные Интернет
адреса на наличие уязвимого FTP сервера, имейте ввиду, что многим системным администраторам это не понравится.Сетевые компьютерные порты — виды, принципы
Компьютерный сетевой порт – это число, которое идентифицирует назначение сетевых потоков данных в пределах одного компьютера. Все хосты (компьютеры) обмениваются друг с другом информацией при помощи уникальных цифровых IP-адресов, представленных двоичной системой.
Порты позволяют определить сетевые приложения, работающие на компьютере, множество которых может быть запущено одновременно. Основными сетевыми программами могут быть:
- WEB – сервер, предоставляющий трансляцию данных с веб-сайтов;
- Сервер почты, позволяющие обмениваться электронными письмами;
-
FTP – сервер, обеспечивающий передачу информации.
Основным предназначением портов является прием и передача данных определенного вида, а также устранение ошибки неоднозначности при попытке установить связь с хостом по IP-адресу. Для обеспечения трансляции данных с веб-сервера необходимо указать IP адрес хоста и номер порта, определяющий программу веб-сервера.
Принцип работы портов
Порт отображается в виде 16 битного числа от 1 до 65535, которое доступно приложениям для обмена трафиком. Использование портов регламентируется специальной организацией IANA, предоставляющей стандарты при работе с портами.
Когда на определенном хосте пользователь открывает окно браузера и набирает необходимый поисковой запрос, веб-сервер автоматически отправляет пакеты данных по протоколу TCP/IP в порт 80.
В случае использования почтового клиента Outlook Express существуют два стандартизированных порта:
- 110 порт используется для получения электронных писем;
-
посредством порта 25 письма отправляются в глобальную сеть в поисках своего адресата.
Существующее количество портов обеспечивает корректное функционирование всех приложений, которым необходимо использовать сетевое соединение.
Однако порты обеспечивают доступ в глобальную сеть не только программам, установленным пользователем. Возможны ситуации, когда вредоносные программы (вирусы) инсталлируются в систему и открывают порт без ведома пользователя. И уже с помощью открытого порта могут считывать информацию, находящуюся на компьютере. Поэтому стоит знать, какие основные порты требуются пользователю и каким образом можно их открывать и закрывать.
Протокол передачи файлов— FTP
:: jseblod :: article :: / jseblod ::
:: panel_article :: :: / panel_article ::
:: wysiwyg_introtext ::
Передача файлов является одним из наиболее часто используемых приложений TCP / IP, и на нее приходится много сетевого трафика в Интернете. Различные стандартные протоколы передачи файлов существовали еще до того, как Интернет стал доступен каждому, и именно эти ранние версии программного обеспечения для передачи файлов помогли создать сегодняшний стандарт, известный как протокол передачи файлов (FTP).
Самые последние спецификации протокола перечислены в RFC 959.
:: my_readmore :: :: / my_readmore ::
:: wysiwyg_fulltext ::
Протокол
FTP использует TCP в качестве транспортного протокола. Это означает, что FTP наследует надежность TCP и очень надежен для передачи файлов. Скорее всего, если вы загружаете файлы, вы, вероятно, использовали ftp несколько сотен раз, даже не осознавая этого! А если у вас огромная коллекция варез, то сделайте это пару тысяч раз 🙂
На рисунке ниже показано отличие FTP от модели OSI.Как я уже отмечал в других разделах, важно понимать концепцию модели OSI, потому что она также очень поможет вам понять все это 🙂
Мы уже упоминали, что FTP использует TCP в качестве транспорта, но не сказали, какие порты он использует! Номера портов 21 и 20 используются для FTP. Порт 21 используется для установления соединения между 2 компьютерами (или хостами) и порт 20 для передачи данных (через канал данных).
Но есть некоторые случаи, когда порт 21 используется как для установления соединения, так и для передачи данных, и я вскоре их проанализирую.
Лучшее, что вы можете сделать, чтобы «увидеть» это сами, — это взять сниффер пакетов, который вы легко найдете в нашем разделе загрузок, и попытаться перехватить несколько пакетов, пока вы переходите на сайт по ftp.
Оба порта — 20 и 21 — Активный режим FTP
Я приложил снимок экрана с моей рабочей станции, на котором четко показаны 2 используемых порта. В этом примере я ввел ftp в ftp.cdrom.com. Нажмите здесь, чтобы просмотреть полное изображение
Только порт 21 — пассивный режим FTP
Теперь, на следующем изображении, я зашел по ftp на свой сервер NetWare здесь, дома, и угадайте, что…. Использовался только порт 21! Вот скриншот:
Щелкните здесь, чтобы просмотреть полное изображение.
Позвольте мне объяснить, почему это происходит:
FTP имеет два отдельных режима работы: активный и пассивный.
Вы будете использовать любой из них в зависимости от того, защищен ли ваш компьютер брандмауэром.
Активный режим FTP
Активный режим обычно используется, когда между вами и FTP-сервером нет брандмауэра. В таких случаях у вас есть прямое подключение к Интернету.Когда вы (клиент) пытаетесь установить соединение с FTP-сервером, ваша рабочая станция включает второй номер порта (с помощью команды PORT), который используется при обмене данными, он известен как канал данных.
Затем FTP-сервер начинает обмен данными со своего собственного порта 20 на любой порт, назначенный вашей рабочей станцией (на снимке экрана моя рабочая станция использовала порт 1086), и поскольку сервер инициировал обмен данными, он не контролируется рабочей станцией. клиент.Это также может позволить незваным данным поступать на ваш компьютер из любого места, представляя собой обычную передачу по FTP. Это одна из причин, по которой пассивный FTP более безопасен.
Пассивный режим FTP
Используя обычный или пассивный FTP, клиент начинает сеанс, отправляя запрос на связь через TCP-порт 21, порт, который обычно назначается для этого использования на FTP-сервере.
Эта связь известна как соединение канала управления.
На этом этапе вместо команды PORT отправляется команда PASV.Вместо указания порта, на который сервер может отправлять сообщения, команда PASV просит сервер указать порт, который он желает использовать для соединения с каналом данных. Сервер отвечает по каналу управления номером порта, который затем использует клиент для инициирования обмена по каналу данных. Таким образом, сервер всегда будет отвечать на инициированные клиентом запросы по каналу данных, и межсетевой экран может их соотнести.
Настроить клиентскую программу FTP для использования активного или пассивного FTP просто.Например, в Cute FTP вы можете настроить свою программу на использование пассивного FTP, перейдя в FTP -> Настройки -> Параметры, а затем выбрав вкладку «Брандмауэр»:
Если вы удалите указанные выше параметры, ваша рабочая станция будет использовать (если возможно) активный режим FTP, и я скажу «если возможно», потому что, если вы уже находитесь за брандмауэром, вероятно, вы не будете использовать Active FTP, поэтому программа автоматически перейдет в пассивный режим FTP.
Итак, давайте посмотрим на процесс установления FTP-соединения компьютером с сервером:.
……..
Вышеупомянутое предполагает прямое соединение с FTP-сервером. Для простоты мы смотрим на способ создания FTP-соединения и не беспокоимся, пассивное или активное FTP-соединение. Поскольку FTP использует TCP в качестве транспорта, вы ожидаете увидеть трехстороннее рукопожатие. Как только это будет выполнено и будет установлено соединение для передачи данных, клиент отправит свое имя для входа, а затем пароль. После того, как последовательность аутентификации завершена и пользователь аутентифицирован на Сервере, ему разрешен доступ и он готов к выщелачиванию сайта 🙂
Наконец, ниже приведены наиболее часто используемые команды FTP:
ABOR: отменить предыдущую команду FTP
LIST и NLST: список файлов и каталогов
DELE: удалить файл
RMD: удалить каталог
MKD: создать каталог
PWD: распечатать текущий рабочий каталог (показать, какой каталог dir.
ваш в)
PASS: отправить пароль
ПОРТ: запросить номер открытого порта для определенного IP-адреса / номера порта
ВЫЙТИ: выйти из сервера
RETR: получить файл
STOR: отправить или положить файл
SYST: тип системы идентификации
TYPE: укажите тип (A для ASCII, I для двоичного)
ПОЛЬЗОВАТЕЛЬ: отправить имя пользователя
И на этом наш анализ протокола FTP почти завершен!
:: / wysiwyg_fulltext :::: сведения_статьи_панели :: :: / детали_статьи_панели ::
:: параметры_статьи_панели :: :: / параметры_статьи_панели ::
:: мета_статьи_панели :: :: / мета_статьи_панели ::
:: конец_панели :: :: / panel_end ::
:: jseblodend :::: / jseblodend ::
GRC | Администрация порта, для Интернет-порта 21
Важное слово о безопасности и конфиденциальности FTPБыло сказано, что любой «открытый FTP-сервер» будет найден и быстро изучен интернет-хакерами в течение очень короткого времени после его появления в Интернете.
Хакерам нравятся открытые FTP-серверы, которые анонимно принимают файлы, которые затем становятся доступными для других без какого-либо контроля со стороны администрации FTP-сервера. Такие «ящики для хранения файлов» быстро загружаются незаконным программным обеспечением и другими потенциально опасными файлами и используются в качестве точек анонимного обмена файлами. Такое автоматическое использование может не только стать огромным потребителем пропускной способности вашей сети, но вы можете обнаружить, что объясняете свой очевидный «хостинг» незаконных, защищенных авторским правом или иным образом неприятных файлов властям.Если вам необходимо запустить FTP-сервер для анонимного приема файлов, обязательно создайте отдельный «входящий» каталог для приема отправленных файлов. Убедитесь, что содержимое этого входящего каталога недоступно для исходящей загрузки без явного перемещения файла в исходящий каталог.
Если наш анализ показал, что ваш порт службы FTP открыт, вы обязательно захотите предпринять какие-то действия (если это не то, что вы намереваетесь).
Как видно из списка известных троянских программ для FTP-портов в конце этой страницы, некоторые вредоносные программы могут быть ответственны за тайное открытие этого порта в вашей системе. Или, если вы намеренно используете FTP-сервер, вам нужно быть уверенным, что вы готовы принять на себя ответственность за управление, связанную с предложением такого общедоступного сервера в Интернете. Это не для всех.
О протоколе FTP
Протокол FTP использует два параллельных соединения: одно для управления и контроля, а второй канал для передачи данных.Если не указан другой порт, FTP-серверы ожидают подключения клиентов к их порту 21. Использование нестандартных портов FTP-сервера более распространено, чем для других протоколов, из-за исторических проблем с злоумышленниками, ищущими FTP-серверы на порту 21. Вы можете услышать, как опытный компьютерный пользователь говорит: «У меня FTP-сервер работает на 60-м порту» (или что-то еще). Это может быть сделано, чтобы избежать конфликта порта с другим FTP-сервером, уже работающим на порту по умолчанию.
Но более вероятно, что это делается для того, чтобы настоящий FTP-сервер находился подальше от узконаправленного и часто ищущего порта.
После инициации соединения клиент указывает серверу, желает ли он установить «активный» или «пассивный» сеанс FTP. Это определяет направление вторичного соединения «FTP-данные»:
Активный FTP
Активный FTP — это традиционный протокол по умолчанию, который обычно используется полными клиентскими программами FTP. Активный FTP использует «обратный канал данных», который может вызвать проблемы при работе за некоторыми старыми межсетевыми экранами и маршрутизаторами NAT, хотя современные продукты, как правило, «поддерживают FTP».Для сравнения, пассивный FTP (см. Следующий раздел) в основном используется веб-браузерами и может быть более дружественным к межсетевому экрану и маршрутизатору NAT.
Как мы видели выше, сеансы FTP инициируются подключением FTP-клиента к порту 21 любого FTP-сервера. Это устанавливает «прямой» канал управления и контроля.
Затем активный FTP-клиент открывает порт прослушивания на своей машине, сообщает удаленному FTP-серверу об этом номере порта и запрашивает удаленный FTP-сервер для подключения со своего порта 20 обратно к клиенту на указанном им порте.Это устанавливает «обратный канал данных» для передачи данных.
Поскольку многие брандмауэры и NAT-маршрутизаторы автоматически блокируют входящие подключения к своим защищенным клиентским машинам, необходимость создания этого второго «обратного канала данных» может вызвать проблемы. Хотя пассивный FTP был создан для преодоления этих проблем, большинство современных межсетевых экранов и маршрутизаторов NAT стали «знать FTP». Они контролируют исходящий канал управления, интерпретируют запрос клиента к удаленному серверу и открывают входящий порт обратно через маршрутизатор на клиентский компьютер.Таким образом, активные клиенты FTP могут без проблем работать за межсетевыми экранами, поддерживающими FTP, и маршрутизаторами NAT.
Passive FTP
Passive FTP протокол был создан для преодоления проблем межсетевого экрана и маршрутизатора, связанных с необходимостью активного FTP устанавливать обратный канал данных обратно от сервера к клиенту.
Пассивный FTP работает так же, как активный FTP, за исключением того, что и начальный канал управления (к порту сервера по умолчанию 21), и канал данных (к порту сервера по умолчанию 20) инициируются клиентом и принимаются и принимаются сервером.Пассивный FTP обычно используется веб-браузерами и иногда может быть запрошен как дополнительный режим у полноценных FTP-клиентов. Поскольку пассивный FTP не использует подход «обратного канала данных», он часто более удобен для межсетевых экранов и маршрутизаторов NAT, хотя большинство современных маршрутизаторов NAT теперь «поддерживают FTP».
FTP RFC (полная спецификация)
Спецификацию всех нюансов и деталей протокола FTP, написанную людьми, которые его изобрели, можно найти здесь:
http: // www.ietf.org/rfc/rfc959.txt
http://www.faqs.org/rfcs/rfc959.html
Trojan Sightings: Back Construction, Blade Runner, FTP-сервер Cattivik, CC Invader, Dark FTP, Doly Trojan, Fore, FreddyK, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, RTB 666, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash
Все содержимое этой страницы защищено авторским правом © 2008 Gibson Research Corporation.
Номер порта TCP 21 и как он работает с FTP
Протокол передачи файлов обеспечивает основу для передачи информации между двумя компьютерами в сети, во многом подобно протоколу передачи гипертекста через веб-браузер.Однако FTP работает с двумя разными портами протокола управления передачей: 20 и 21. Оба порта FTP 20 и 21 должны быть открыты в сети для успешной передачи файлов.
После ввода правильного имени пользователя и пароля FTP с помощью программного обеспечения FTP-клиента программное обеспечение FTP-сервера открывает порт 21, который по умолчанию иногда называют командой или управляющим портом . Затем клиент устанавливает другое соединение с сервером через порт 20, чтобы можно было осуществить фактическую передачу файлов.
Getty Images Порт по умолчанию для отправки команд и файлов через FTP можно изменить. Однако стандарт существует, так что клиентские / программные программы, маршрутизаторы и брандмауэры могут согласовывать одни и те же порты, что упрощает настройку.
Как подключиться через FTP-порт 21
В случае сбоя FTP правильные порты могут быть не открыты в сети. Эта блокировка может происходить как на стороне сервера, так и на стороне клиента. Любое программное обеспечение, которое блокирует порты, необходимо вручную изменить, чтобы открыть их, включая маршрутизаторы и брандмауэры, которые могут заблокировать порты, если операционная система этого не сделает.
По умолчанию маршрутизаторы и брандмауэры могут не принимать соединения на порту 21. Если FTP не работает, лучше сначала проверить, правильно ли маршрутизатор пересылает запросы на этот порт и что брандмауэр не блокирует порт 21.
Используйте Port Checker для сканирования вашей сети, чтобы увидеть, открыт ли у маршрутизатора порт 21. Функция, называемая пассивным режимом, помогает проверить наличие препятствий для доступа к портам за маршрутизатором.
В дополнение к обеспечению того, чтобы порт 21 был открыт с обеих сторон канала связи, порт 20 также должен быть разрешен в сети и через клиентское программное обеспечение.
Игнорирование открытия обоих портов препятствует выполнению полной передачи туда-обратно.
Когда он подключен к FTP-серверу, клиентское программное обеспечение запрашивает учетные данные для входа — имя пользователя и пароль — которые необходимы для доступа к этому конкретному серверу. Многие FTP-серверы, если вы входите в систему через telnet или соединение Secure Shell, будут предлагать анонимные учетные данные по умолчанию.
Спасибо, что сообщили нам об этом!
Расскажите, почему!
Другой Недостаточно подробностей Сложно понятьВ чем разница между FTP и SFTP?
FTP, FTP / S и SFTP — общие сокращения, но знаете ли вы, что между ними есть некоторые существенные различия? Примечательно, что FTP в его базовой форме небезопасен.FTP / S повышает безопасность, поскольку позволяет защитить весь сеанс или его часть (за счет скорости). SFTP — это совершенно другой протокол (несмотря на похожую аббревиатуру), который изначально безопасен и более эффективен.
FTP (протокол передачи файлов)
FTP — это хорошо зарекомендовавший себя протокол, разработанный в 1970-х годах для того, чтобы два компьютера могли передавать данные через Интернет. Один компьютер действует как сервер для хранения информации, а другой действует как клиент для отправки или запроса файлов с сервера.Протокол FTP обычно использует порт 21 в качестве основного средства связи. FTP-сервер будет прослушивать клиентские подключения через порт 21.
FTP-клиенты затем подключатся к FTP-серверу через порт 21 и начнут диалог. Это основное соединение называется управляющим соединением или командным соединением . FTP-клиент обычно аутентифицируется на FTP-сервере, отправляя имя пользователя и пароль. После аутентификации клиент и сервер обычно с помощью серии синхронизированных команд, управляемых Командным соединением, согласовывают новый общий порт, называемый Data Connection , через который будет передаваться файл.
Управляющее соединение остается свободным до конца этого обмена, когда оно сообщает, что передача файла либо не удалась, либо была успешно завершена. Разговор между клиентом и сервером осуществляется в виде обычного текста — все сообщения между двумя сторонами передаются без защиты, дословно, через Интернет. Это делает FTP очень небезопасным; для третьей стороны, такой как злоумышленник-посредник (MITMA), не составит особого труда украсть учетные данные пользователей.
Есть исключение из этого правила, называемое одноразовым паролем (OTP), в котором сервер отправляет серию цифр клиентскому серверу в ответ на получение команды USER.Клиент захватывает эти цифры, и, используя заранее известный алгоритм, такой как ROT13 или MD5, клиент сгенерирует хэш своего пароля вместе с серией цифр для создания уникального пароля (используется один раз, отсюда и OTP). Клиент представляет этот хеш серверу, который принимает пароль пользователя, уже сохраненный на сервере, и использует те же цифры.
Если хэши пароля совпадают, они аутентифицируются. Это несколько более безопасно, потому что пароль пользователя не передается по сети — только хэш пароля пользователя, поэтому MITMA обычно не может реконструировать пароль из хеша.
Потребность в соединении для передачи данных и присущие ему лазейки в безопасности являются серьезной проблемой при использовании Интернета сегодня. FTP традиционно требует, чтобы блок портов оставался открытым либо на брандмауэре сервера, либо на брандмауэре клиента, чтобы облегчить создание соединений данных. По соображениям безопасности компании ограничивают количество портов в своих общедоступных межсетевых экранах и ищут альтернативные решения, чтобы держать порты закрытыми и обеспечивать безопасность информации.
FTP / S (протокол передачи файлов по уровням защищенных сокетов)
Наряду с передачей файлов клиенты обычно запрашивают информацию о каталоге с FTP-сервера.Формат информации в каталогах часто является примитивным по сегодняшним стандартам, и поэтому FTP-клиент иногда может получить только подмножество атрибутов или свойств файлов, доступных на сервере (например, дату последнего изменения файла.
, но не дату создания файла).
Хотя общий протокол FTP небезопасен, с годами были добавлены расширения, позволяющие обеспечить безопасность FTP-разговоров, а именно отраслевой стандарт 2048-битной безопасности транспортного уровня (TLS), наиболее обновленную версию старого 1024-битного стандартного SSL. .FTP через SSL (широко известный как FTP / S) позволяет шифровать как управляющие соединения, так и соединения данных, одновременно или независимо. Это важно, потому что согласование SSL-соединения занимает много времени, и необходимость делать это дважды — один раз для соединения данных и один раз для соединения управления — может быть дорогостоящим, если клиент планирует передать большое количество небольших файлов.
FTP / S обычно работает на порту 990, а иногда и на порту 21, основное отличие состоит в том, что порт 990 — это неявный FTP / S , а порт 21 — это явный FTP / S .Если клиент подключается к серверу FTP / S через порт 990, предполагается, что клиент намеревается использовать SSL.
Следовательно, квитирование SSL происходит немедленно; он называется неявным, потому что номер порта подразумевает безопасность. FTP-клиенты, которые подключаются к порту 21 и намереваются использовать SSL для обеспечения безопасности, должны будут сделать дополнительный шаг, чтобы явно заявить о своих намерениях, отправив на сервер команду AUTH SSL или AUTH TLS . Как только сервер получает эту команду, обе стороны выполняют квитирование SSL и входят в безопасное состояние, поэтому порт 21 называется явным.Это дает клиенту возможность активировать повышенную безопасность при необходимости или ускорить процесс передачи файлов, менее чувствительных к безопасности.
SFTP (протокол безопасной передачи файлов)
SFTP (протокол безопасной передачи файлов) — относительно новый протокол, разработанный в 1990-х годах, который позволяет передавать файлы и другие данные через соединение, которое ранее было защищено с помощью Secure Shell. (SSH) протокол. Хотя оба протокола похожи на FTP / S в том, что оба протокола обмениваются данными через безопасное соединение, на этом сходство в основном заканчивается.
В отличие от FTP, протокол SFTP является пакетным, а не текстовым. Если FTP может отправить такую команду, как «DELE file.txt», SFTP отправит двоичный 0xBC, а затем «file.txt». Ключевое отличие состоит в том, что при отправке меньшего количества данных протокол SFTP работает быстрее в долгосрочной перспективе, поскольку меньше данных передается по проводам.
Еще одно отличие состоит в том, что с SFTP передача файлов выполняется в режиме реального времени по основному управляющему соединению, что устраняет необходимость открывать отдельное соединение данных для передачи.Это дает много преимуществ. Во-первых, при повторном использовании основного соединения никакие другие соединения не открываются между клиентом и сервером, что приводит к единому безопасному и эффективному соединению через брандмауэры.
Поскольку SFTP работает через SSH, он изначально безопасен. Не существует незащищенной версии — шифрование не может быть запущено или отключено с помощью команд AUTH, как в FTP / S.
Это плюс для системных администраторов, которые пытаются обеспечить соблюдение корпоративных политик безопасности.
Еще одно отличие состоит в том, что большинство версий программного обеспечения SFTP-сервера могут предоставлять гораздо более богатый и подробный набор данных о файлах, таких как разрешения, дата, время, размер и другая информация, обычно недоступная для FTP, спасибо к более надежному протоколу запросов SFTP.
Это неотъемлемые различия между FTP, SFTP и FTP / S. Titan FTP Server Enterprise Edition поддерживает как FTP, так и SFTP.
Готовы попробовать FTP-сервер Titan?Как проверить, не заблокирован ли FTP-порт 21
Возникли проблемы с подключением к учетной записи FTP? В таком случае стоит проверить, не является ли порт 21 причиной сбоя соединения. В этом руководстве мы покажем вам, как проверить, открыт ли 21 порт FTP.
Как проверить, открыт ли порт 21?
Прежде чем мы начнем, этому руководству потребуется доступ к вашей системной консоли.
Вы можете найти больше информации о том, как получить доступ к системной консоли в Windows, Linux и macOS, в этой статье.
Вот как проверить, нет ли блокировки на FTP-порту 21:
- Откройте системную консоль и введите следующую строку. Обязательно измените доменное имя соответствующим образом. Эта же команда применима ко всем операционным системам.
telnet vashdomen.com 21
- Если FTP-порт 21 не заблокирован, появится ответ 220 . Обратите внимание, что это сообщение может отличаться:
220 FTP-сервер готов.
- Если ответ 220 не появляется, это означает, что FTP-порт 21 заблокирован. В этом случае мы рекомендуем вам обратиться к своему интернет-провайдеру, чтобы открыть порт.
Включение клиента Telnet
Поскольку мы используем команду Telnet для проверки соединения, вам необходимо убедиться, что в вашей операционной системе включен Telnet Client .
Telnet — это протокол клиент-сервер, обеспечивающий удаленное управление компьютерами. В этом случае это поможет нам проверить подключение к порту 21 FTP. В этом примере мы покажем, как включить клиент Telnet в Windows:
- Нажмите одновременно клавиши Window + R , затем введите control , чтобы открыть панель управления .
- Перейдите к Программы -> Программы и компоненты. На левой панели выберите Включить или выключить функции Windows.
- В новом диалоговом окне установите флажок Telnet Client и нажмите OK .
Что такое FTP-порт 21?
FTP — это интернет-протокол, который позволяет компьютерам в сети массово обмениваться файлами. Для правильной работы FTP должен использовать два порта — порт 21, для управления и контроля и порт 20, для передачи данных.
Клиент FTP не может выполнить протокол, если ему не удается подключиться к портам FTP.
К сожалению, некоторые маршрутизаторы и брандмауэры блокируют этот порт, потому что хакеры часто атакуют FTP-серверы через порт 21.
Если у вас возникла проблема с FTP-соединением, важно проверить, не заблокирован ли порт 21.
Заключение
Некоторые маршрутизаторы и брандмауэры блокируют FTP-порт 21 из соображений безопасности, поэтому очень важно проверить соединение порта перед выполнением протокола передачи файлов. Вы можете найти больше информации о FTP здесь.
Мы надеемся, что это руководство было для вас полезным. Если у вас есть еще вопросы, не стесняйтесь оставлять комментарии ниже.
Эдгарас — ветеран-администратор серверов в Hostinger. Он следит за тем, чтобы каждый сервер работал на полную мощность и имел все последние технологические достижения. Когда он не работает, Эдгарас любит кататься на лыжах и исследовать мир.
UDP 21 — Информация о протоколе порта и предупреждение!
Ищете информацию о протоколе UDP 21 ? На этой странице будет предпринята попытка предоставить вам как можно больше информации о порте UDP-порта 21.
Порт 21 UDP может использовать определенный протокол для связи в зависимости от приложения. Протокол — это набор формализованных правил, объясняющих, как данные передаются по сети. Думайте об этом как о языке, на котором говорят между компьютерами, чтобы помочь им общаться более эффективно.
ПротоколHTTP, например, определяет формат связи между интернет-браузерами и веб-сайтами. Другой пример — протокол IMAP, который определяет связь между почтовыми серверами IMAP и клиентами, или, наконец, протокол SSL, который устанавливает формат, используемый для зашифрованной связи.
UDP-порт 21
Вот что мы знаем о протоколе UDP Port 21 . Если у вас есть информация о UDP-порту 21, которая не отражена на этой странице, просто оставьте комментарий, и мы обновим нашу информацию.
ПОРТ 21 — Информация
Дополнительное примечание: порт 21 UDP использует протокол дейтаграмм, протокол связи для сетевого уровня Интернета, транспортного уровня и уровня сеанса.
Этот протокол при использовании через ПОРТ 21 делает возможной передачу сообщения дейтаграммы с одного компьютера в приложение, работающее на другом компьютере.Подобно TCP (протокол управления передачей), UDP используется с IP (Интернет-протоколом), но в отличие от TCP на порту 21, порт 21 UDP не требует установления соединения и не гарантирует надежной связи; Приложение, получившее сообщение через порт 21, должно обработать любые ошибки и проверить правильность доставки.
Поскольку порт 21 протокола UDP был помечен как вирус (красный цвет), это не означает, что вирус использует порт 21, но то, что троянец или вирус использовали этот порт в прошлом для связи.
UDP 21 — Заявление об ограничении ответственности
Мы делаем все возможное, чтобы предоставить вам точную информацию о PORT 21 и прилагаем все усилия, чтобы поддерживать нашу базу данных в актуальном состоянии. Это бесплатный сервис, точность которого не гарантируется. Мы делаем все возможное, чтобы исправить любые ошибки, и приветствуем отзывы!
Что такое подключение через порт FTP?
Что такое порт FTP?
FTP, или протокол передачи файлов, позволяет пользователям обмениваться файлами между своими персональными компьютерами и удаленными серверами с помощью специализированных программных инструментов, называемых FTP-клиентами.
С помощью программных средств FTP пользователи могут устанавливать соединения с удаленным компьютером по своему выбору и выполнять любую необходимую передачу данных. FTP-соединения выполняются через определенные порты, которые являются либо портами TCP по умолчанию, либо настраиваемыми портами, установленными администратором.
Выполнение подключения к порту FTP через клиента — это двухэтапный процесс, требующий использования двух разных портов. Как только пользователь вводит имя сервера и учетные данные для входа в систему в полях авторизации FTP-клиента, устанавливается FTP-соединение и открывается порт управления FTP-сервером (порт по умолчанию для отправки команд — 21).Затем клиент устанавливает второе соединение с сервером, за которым следует ответ FTP-сервера от порта для отправки данных (порт отправки данных по умолчанию — 20), когда фактически начинается реальная передача файла.
Устранение проблем с заблокированным FTP-портом
Как мы уже упоминали, командным портом по умолчанию для FTP-соединений является порт 21, поэтому важно проверить, не блокирует ли ваш интернет-провайдер доступ к этому порту.
Чтобы проверить, не блокирует ли ваш маршрутизатор или интернет-провайдер порт 21, вы должны использовать telnet.В зависимости от вашей ОС вы можете открыть терминал (Linux, OSX) или командную строку (Windows XP, Vista, Windows7) и ввести следующую строку.
Пример команды telnet для проверки FTP-порта 21
telnet my-best-domain.net 21Если соединение успешно открыто, результат должен быть аналогичным.
Результаты проверки 21 порта
telnet my-best-domain.net 21Попытка 192.128.34.174 …
Подключен к my-best-domain.net.
220 ProFTPD 1.2.10 Сервер (my-best-domain.net) [192.128.34.174]
Если вы не устанавливали FTP-соединение с помощью telnet, вам следует проверить программное обеспечение брандмауэра и добавить FTP-клиент в список исключений / белый список программ, которые могут открывать порты. Если ваш FTP-порт уже указан в этом списке и вы не можете открыть FTP-соединение с помощью telnet, обратитесь к своему интернет-провайдеру и попросите его открыть порт 21.
Если вы подключаетесь к FTP-серверу с помощью telnet, но у вас возникают проблемы с установлением FTP-соединения с помощью программного обеспечения FTP, выполните следующие действия:
- проверить данные учетной записи FTP на наличие ошибок
- проверьте настройки подключения FTP-клиента
- отключить одновременную передачу по FTP
- установить минимально допустимое количество FTP-подключений
Если все эти советы не позволяют подключиться к серверу, попробуйте установить FTP-клиент в пассивный режим.
FTP-соединения в активном и пассивном режимах
В чем разница между активным и пассивным FTP-соединением и как они работают, — это один из наиболее часто задаваемых вопросов. Хорошо иметь FTP-хост, который обеспечивает поддержку обоих, потому что бывают случаи, когда один работает, а другой отказывает в соединении. Такие случаи происходят из-за неправильно настроенных межсетевых экранов и маршрутизаторов на стороне клиента или в сети интернет-провайдера клиента.
Итак, в чем разница между активным и пассивным режимами FTP-подключений? — И ответ в соединениях порта FTP.FTP — это служба TCP, использующая 2 порта. Первый порт FTP — это «командный порт», который использует связь между FTP-сервером и FTP-клиентом. Второй порт — это порт передачи данных, через который выполняется реальная передача файлов. Обычно командный порт установлен на порт 21, а порт передачи данных — на порт 20, но на самом деле, в зависимости от режима соединения, порт передачи данных может быть изменен.
Активный режим подключения
Когда вы пытаетесь установить FTP-соединение в активном режиме, сначала вам необходимо проверить настройки программного обеспечения FTP, включен ли «Активный режим».В наиболее популярных бесплатных FTP-программах активный режим включен по умолчанию. Если отключено, включите его и продолжайте заполнять данные своей учетной записи FTP.
Посмотрите на журнал подключений ниже, чтобы увидеть, как происходит подключение.
Вы заметите, что клиент отправляет команду PORT, которая содержит динамический номер порта, на котором он прослушивает поток управления и ожидает подключения от FTP-сервера. Когда FTP-сервер инициирует соединение для передачи данных с FTP-клиентом, он связывает исходный порт с портом 20 на FTP-сервере.
Пример журнала FTP-подключений в активном режиме
Статус: разрешение адреса my-best-domain.netСтатус: подключение к 66.40.34.171:21 …
Статус: соединение установлено, ожидается приветственное сообщение …
Ответ: 220 ProFTPD 1.2.10 Server (sc109. info) [66.40.34.171]
Команда: USER demomovie
Ответ: 331 Требуется пароль для работы demomovie.
Команда: PASS *****
Ответ: 230 Пользователь демоверсии вошел в систему.
Команда: SYST
Ответ: 215 UNIX Тип: L8
Команда: FEAT
Ответ: 211-Features:
Ответ: 211-MDTM
Ответ: 211-REST STREAM
Ответ: 211-SIZE
Ответ: 211 Конец
Статус: Подключено
Статус: получение списка каталогов .
.. Команда: PWD
Ответ: 257 «/» — текущий каталог.
Команда: TYPE I
Ответ: 200 Тип установлен на I
Команда: PORT 10,1,242,250,180,46
Ответ: 200 Команда PORT выполнена успешно
Команда: LIST
Ответ: 150 Открытие соединения данных в режиме ASCII для списка файлов
Ответ: 226 Передача полный.
Статус: внесение в каталог успешно
Но давайте объясним вещи поподробнее. Сначала клиент открывает случайный динамический порт, например порт 1025, и подключается к порту 21 сервера. Затем клиент открывает порт данных (командный порт + 1 = 1026) и отправляет команду PORT на FTP-сервер. Затем сервер снова подключается к порту данных клиента 1026, используя свой локальный порт данных 20, и начинает передачу.
Подключение в пассивном режиме
FTP-соединения в пассивном режиме предназначены для решения проблем с брандмауэрами и маршрутизаторами, которые не позволяли установить активное соединение.
Если вы не можете подключиться к серверу в активном режиме, вам необходимо включить опцию «Принудительный пассивный режим» вашего FTP-клиента.
Затем клиент инициирует оба подключения к серверу, что может решить проблему, даже если есть некоторые ограничения, налагаемые сетью вашего интернет-провайдера или вашим персональным брандмауэром.
Посмотрим, как работает пассивный режим. Сначала FTP-клиент открывает два динамических порта — командный порт (например, порт 1025) и порт передачи данных (командный порт +1 = порт 1026).Затем клиент подключает свой командный порт к порту 21 на сервере, но вместо использования команды PORT он отправляет команду PASV, которая сообщает серверу, что соединение установлено в пассивном режиме. Когда он читает команду PASV, сервер открывает случайный динамический порт (например, 1027), который перенаправляется на порт 20 (порт передачи данных сервера по умолчанию), и отправляет его обратно клиенту. Затем FTP-клиент инициирует соединение со своего порта данных (порт 1026) с портом данных сервера (порт 1027) и начинает передачу данных.
Этот режим — отличный метод решения проблем с брандмауэрами, фильтрующими входящий порт данных, соединяющийся с клиентом с сервера.
Проверим, как выглядит журнал подключений:
Пример журнала FTP-подключения в пассивном режиме
Статус: разрешение адреса my-best-domain.netСтатус: подключение к 66.40.34.171:21 …
Статус: соединение установлено, ожидается приветственное сообщение …
Ответ: 220 ProFTPD 1.2.10 Сервер (sc109.info) [66.40.34.171]
Команда: USER demo
Ответ: 331 Требуется пароль для демоверсии.
Команда: PASS **********
Ответ: 230 Пользователь вошел в демоверсию.
Команда: SYST
Ответ: 215 Тип UNIX: L8
Команда: FEAT
Ответ: 211-Функции:
Ответ: 211 -MDTM
Ответ: 211-REST STREAM
Ответ: 211-SIZE
Ответ: 211 Конец
Статус: Подключено
Статус: Получение списка каталогов…
Команда: PWD
Ответ: 257 «/» — текущий каталог.
Команда: TYPE I
Ответ: 200 Тип установлен на I
Команда: PASV
Ответ: 227 Переход в пассивный режим (66,40,34,171,137,225).
Команда: LIST
Ответ: 150 Открытие соединения данных в режиме ASCII для списка файлов
Ответ: 226 Передача завершена.
