FTP主动模式(Port)和被动模式(Pasv)区别

1. 什么是PASV模式和PORT模式？
ftp port模式（主动模式）
主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N>1024）连接到FTP服务器的命令端口(即tcp 21端口)。紧接着客户端开始监听端口N+1，并发送FTP命令“port
N+1”到FTP服务器。最后服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1），这样客户端就可以和ftp服务器建立数据传输通道了。

ftp pasv模式（被动模式）
在被动方式FTP中，命令连接和数据连接都由客户端。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N > 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交
PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P > 1024），并发送PORT
P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
ftp port模式只要开启服务器的21和20端口，而ftp pasv需要开启服务器大于1024所有tcp端口和21端口。重网络安全的角度来看的话似乎ftp port模式更安全，而ftp pasv更不安全，那么为什么RFC要在ftp port基础再制定一个ftp pasv模式呢？其实RFC制定ftp pasv模式的主要目的是为了数据传输安全角度出发的，因为ftp port使用固定20端口进行传输数据，那么作为黑客很容使用sniffer等探嗅器抓取ftp数据，这样一来通过ftp port模式传输数据很容易被黑客窃取，因此使用pasv方式来架设ftp server是最安全绝佳方案。

结论：如果只是简单的为了文件共享，完全可以禁用pasv模式，解除开放大量端口的威胁，同时也为防火墙的设置带来便利。


2. vsftpd如何设置pasv模式？
pasv_enable=yes （Default: YES）  设置是否允许pasv模式
pasv_promiscuous=no （Default: NO） 是否屏蔽对pasv进行安全检查，（当有安全隧道时可禁用）
pasv_max_port=10240  （Default: 0 (use any port)） pasv使用的最大端口
pasv_min_port=1024  （Default: 0 (use any port)） pasv使用的最小端口
pasv_address （Default: (none - the address is taken from the incoming connected socket)） pasv模式中服务器传回的ip地址