阿里云金融云下FTP主动模式的讨论

2016-09-24 5285

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云服务器 ECS，每月免费额度280元 3个月

数据传输服务 DTS，数据迁移 small 3个月

云服务器ECS，u1 2核4GB 1个月

简介： 阿里云的金融云集群，针对金融用户做了很多主动式的防御手段，其中包含主动禁止外网连接，安全组默认是黑名单的形式，必须要显式的放行对应的端口或IP才可以向外通信。问题的起点。大多数FTP客户端默认使用被动模式来进行连接，在这个模式下，客户端会去连接服务器的某个大于1024的随机端口，但在金融云下使用

阿里云的金融云集群，针对金融用户做了很多主动式的防御手段，其中包含主动禁止外网连接，安全组默认是黑名单的形式，必须要显式的放行对应的端口或IP才可以向外通信。

问题的起点

大多数FTP客户端默认使用被动模式来进行连接，在这个模式下，客户端会去连接服务器的某个大于1024的随机端口，但在金融云下使用就不太方便，如之前所述，金融云端口需要显式放开，但又不可能为了FTP将所有端口放开，所以就需要使用FTP的主动模式。

FTP的主动模式工作流程

以下是使用lftp的一个典型的主动模式下的抓包与流程：

001003_2016_09_15_19_48_46

chart

主动模式中，最关键的一句命令是PORT，这一句话告诉了服务器要连去连接客户端的哪一个端口，这个端口必须要在客户端ECS所在的安全组中开放，同时，和被动模式一样，在服务器ECS所在的安全组中，也要放开21端口，以便让客户端正常连入。

配置实战

初始配置

两台服务器，一台作客户端，一台做服务器，模拟金融云环境下默认黑名单，两台服务器的安全组入方向上除了22端口以外没有放行任何规则：

使用lftp连接，可以看到登陆正常进行，但是会卡在类似ls等需要数据传输的命令上：

[root@iZ94tued97gZ ~]# lftp 120.76.118.xxx
lftp 120.76.118.xxx:~> user anonymous
Password: 
lftp anonymous@120.76.118.xxx:~> ls
`ls' at 0 [Connecting...]

说明数据通道没有正常建立。

主动模式的配置

假设我让10000-10002这三个端口来进行数据传输，需要以下配置

在客户端的安全组入方向上放行10000-10002这三个端口的TCP连接
在客户端的ftp软件上，强制使用主动模式，并设置使用10000-10002这三个端口进行主动模式的数据传输

1、客户端ECS安全组配置

打开ECS所在安全组，在其中放行10000-10002端口、入方向、TCP协议的放行规则：

001064_2016_09_24_19_35_19

001067_2016_09_24_20_04_22

2、服务器ECS安全组的配置

因为客户端要先主动连接服务器的21端口，所以在服务器侧放行21端口、入方向、TCP协议的规则：

001065_2016_09_24_19_48_50

001066_2016_09_24_20_03_59

3、ftp客户端软件的配置

这里以lftp为例，lftp的配置文件在/etc/lftpd.conf下，找到set ftp:passive-mode off，将前面的注释去掉，然后写上set ftp:port-range 10000-10002，让软件使用这三个端口来进行数据通信：

## if default ftp passive mode does not work, try this:
set ftp:passive-mode off
set ftp:port-range 10000-10002

稍等片刻（1-2分钟，让ECS安全组生效），然后测试，发现已经可以正常使用了！

[root@iZ94tued97gZ ~]# lftp 120.76.118.xxx
lftp 120.76.118.xxx:~> user anonymous
Password: 
lftp anonymous@120.76.118.xxx:~> ls
drwxr-xr-x2 004096 May 11 06:17 pub
lftp anonymous@120.76.118.xxx:/>

Misson Complete!

深一度挖掘

21？20？连接端口众说纷纭

根据众多FTP的资料，都是说默认倩况下使用21作为控制命令的连接端口，20作为数据的传输端口，但从未说客户端的端口是如何设置的，这里针对主动模式说明一下：
1、客户端选择一个随机的端口（>1024），去连接FTP服务器的21端口
2、传输命令数据（如登陆、PWD等）
3、若需要数据传输（如ls），服务器使用20端口去连接客户端之前在PORT命令中告知的端口（下文会详细说明PORT命令）

为何不需要放行客户端的随机端口和20端口？

可以看到以上两个端口，都是系统主动向外连接的端口，在安全组中，默认出方向都是全部放行的（公共云和金融云都是如此，没有任何规则时，出方向的安全组是accept all），所以并不需要显式放行以上两个端口。

客户端如何告知服务器数据通信的端口？

为了探究原因，在配置前，我只启用了set ftp:passive-mode off，没有指明端口，然后再客户端进行抓包，逐条分析，发现在第725个包的时候，我看到了这么一条信息：

Ftp: Request from Port 50301,'PORT 120,xxx,xxx,xxx,218,62'
    Command: PORT, Data port
    CommandParameter: 120,xxx,xxx,xxx,218,62

谷歌了一下，发现这个就是问题的原因：FTP主动模式下客户端并不是一定使用20端口进行通信的！

FTP的这个PORT命令，意在告诉服务器，我要使用哪一个端口让你连接进行数据传输，后面跟的六个数字，前四个是客户端的IP，后两个就是实际的端口号，以上面的为例，客户端告知的端口号是218*256+62=55870，计算方式就是第一个数字乘以256，加上第二个数字，这才是真正的主动模式下服务器连接客户端使用的端口。

lftp和ftp的默认模式

这两款软件都是比较常用的ftp客户端，他们默认情况下使用的模式为：
lftp（Linux）：被动模式

001000_2016_09_14_20_58_20

ftp（Linux）：被动模式

000998_2016_09_14_20_50_53

ftp（Windows）：主动模式

000997_2016_09_14_20_48_40