que - ¿Cuál es la diferencia entre FTP activo y pasivo?

Activo y pasivo son los dos modos en los que se puede ejecutar FTP.

Para el fondo, FTP en realidad usa dos canales entre el cliente y el servidor, el comando y los canales de datos, que en realidad son conexiones TCP separadas .

El canal de comando es para comandos y respuestas, mientras que el canal de datos es para transferir archivos.

Esta separación de información y datos de comandos en canales separados es una forma ingeniosa de poder enviar comandos al servidor sin tener que esperar a que finalice la transferencia de datos actual. De acuerdo con la RFC, esto solo es obligatorio para un subconjunto de comandos, como salir, abortar la transferencia actual y obtener el estado.

En modo activo , el cliente establece el canal de comando, pero el servidor es responsable de establecer el canal de datos. Esto puede ser realmente un problema si, por ejemplo, la máquina cliente está protegida por firewalls y no permitirá solicitudes de sesión no autorizadas de terceros.

En modo pasivo , el cliente establece ambos canales. Ya sabemos que establece el canal de comando en modo activo y hace lo mismo aquí.

Sin embargo, luego solicita al servidor (en el canal de comando) que comience a escuchar en un puerto (a discreción del servidor) en lugar de intentar establecer una conexión con el cliente.

Como parte de esto, el servidor también devuelve al cliente el número de puerto que ha seleccionado para escuchar, de modo que el cliente sepa cómo conectarse a él.

Una vez que el cliente lo sepa, puede crear con éxito el canal de datos y continuar.

Más detalles están disponibles en el RFC: https://www.ietf.org/rfc/rfc959.txt

Modo activo: -servidor inicia la conexión.

Modo pasivo: -cliente inicia la conexión.

Modo activo: el cliente emite un comando PORT al servidor que indica que "activamente" proporcionará una IP y un número de puerto para abrir la conexión de datos al cliente.

Modo pasivo: el cliente emite un comando PASV para indicar que esperará "pasivamente" a que el servidor proporcione una IP y un número de puerto, después de lo cual el cliente creará una conexión de datos al servidor.

Hay muchas respuestas buenas arriba, pero esta publicación del blog incluye algunos gráficos útiles y brinda una explicación bastante sólida: https://titanftp.com/2018/08/23/what-is-the-difference-between-active-and-passive-ftp/

Recientemente me encontré con esta pregunta en mi lugar de trabajo, así que creo que debería decir algo más aquí. Usaré imagen para explicar cómo funciona el FTP como una fuente adicional para la respuesta anterior.

Modo activo:

Modo pasivo:

En una configuración de modo activo, el servidor intentará conectarse a un puerto aleatorio del lado del cliente. Así que es probable que ese puerto no sea uno de esos puertos predefinidos. Como resultado, un intento de conectarse a él será bloqueado por el firewall y no se establecerá ninguna conexión.

Una configuración pasiva no tendrá este problema ya que el cliente será el que inicie la conexión. Por supuesto, también es posible que el servidor tenga un firewall. Sin embargo, dado que se espera que el servidor reciba una mayor cantidad de solicitudes de conexión en comparación con un cliente, sería lógico que el administrador del servidor se adapte a la situación y abra una selección de puertos para satisfacer las configuraciones de modo pasivo.

Por lo tanto, sería mejor para usted configurar el servidor para que admita el modo pasivo FTP. Sin embargo, el modo pasivo haría que su sistema sea vulnerable a los ataques porque se supone que los clientes se conectan a puertos de servidores aleatorios. Por lo tanto, para admitir este modo, no solo su servidor debe tener varios puertos disponibles, ¡su firewall también debe permitir que las conexiones a todos esos puertos pasen a través!

Para mitigar los riesgos, una buena solución sería especificar un rango de puertos en su servidor y luego permitir solo ese rango de puertos en su firewall.

Para más información, lea el documento oficial .

Versión redactada de mi artículo Modos de conexión FTP (activo frente a pasivo) :

El modo de conexión FTP (activo o pasivo), determina cómo se establece una conexión de datos. En ambos casos, un cliente crea una conexión de control TCP a un puerto de comando del servidor FTP 21. Esta es una conexión saliente estándar, como con cualquier otro protocolo de transferencia de archivos (SFTP, SCP, WebDAV) o cualquier otra aplicación cliente TCP (por ejemplo, un navegador web ). Por lo tanto, generalmente no hay problemas al abrir la conexión de control.

Donde el protocolo FTP es más complicado en comparación con los otros protocolos de transferencia de archivos son las transferencias de archivos. Mientras que los otros protocolos usan la misma conexión para el control de sesión y las transferencias de archivos (datos), el protocolo FTP usa una conexión separada para las transferencias de archivos y las listas de directorios.

En el modo activo , el cliente comienza a escuchar en un puerto aleatorio para las conexiones de datos entrantes desde el servidor (el cliente envía el comando FTP PORT para informar al servidor sobre qué puerto está escuchando). Hoy en día, es típico que el cliente esté detrás de un firewall (por ejemplo, un firewall de Windows incorporado) o un enrutador NAT (por ejemplo, un módem ADSL), que no puede aceptar conexiones TCP entrantes.

Por esta razón, el modo pasivo se introdujo y se utiliza principalmente en la actualidad. El uso del modo pasivo es preferible porque la mayoría de la configuración compleja se realiza solo una vez en el lado del servidor, por un administrador experimentado, en lugar de hacerlo individualmente en el lado del cliente, por (posiblemente) usuarios sin experiencia.

En el modo pasivo , el cliente utiliza la conexión de control para enviar un comando PASV al servidor y luego recibe una dirección IP del servidor y un número de puerto del servidor, que el cliente utiliza para abrir una conexión de datos a la dirección IP del servidor y Número de puerto del servidor recibido.

Configuración de red para el modo pasivo

Con el modo pasivo , la mayor parte de la carga de configuración está en el lado del servidor. El administrador del servidor debe configurar el servidor como se describe a continuación.

El servidor de seguridad y NAT en el lado del servidor FTP deben configurarse no solo para permitir / enrutar las conexiones entrantes en el puerto FTP 21, sino también un rango de puertos para las conexiones de datos entrantes. Normalmente, el software del servidor FTP tiene una opción de configuración para configurar un rango de puertos que utilizará el servidor. Y el mismo rango debe abrirse / enrutarse en el firewall / NAT.

Cuando el servidor FTP está detrás de un NAT, necesita saber que es una dirección IP externa, para poder proporcionarla al cliente en respuesta al comando PASV .

Configuración de red para el modo activo

Con el modo activo , la mayor parte de la carga de configuración está en el lado del cliente.

El servidor de seguridad (por ejemplo, el servidor de seguridad de Windows) y NAT (por ejemplo, las reglas de enrutamiento del módem ADSL) en el lado del cliente deben configurarse para permitir / enrutar un rango de puertos para las conexiones de datos entrantes. Para abrir los puertos en Windows, vaya a Panel de control> Sistema y seguridad> Firewall de Windows> Configuración avanzada> Reglas de entrada> Nueva regla . Para enrutar los puertos en el NAT (si corresponde), consulte su documentación.

Cuando hay NAT en su red, el cliente FTP necesita conocer su dirección IP externa que WinSCP debe proporcionar al servidor FTP mediante el comando PORT . Para que el servidor pueda conectarse correctamente al cliente para abrir la conexión de datos. Algunos clientes FTP son capaces de detectar automáticamente la dirección IP externa, algunos tienen que configurarse manualmente.

Firewalls / NAT inteligentes

Algunos firewalls / NAT intentan abrir / cerrar puertos de datos automáticamente al inspeccionar la conexión de control de FTP y / o traducir las direcciones IP de conexión de datos en el tráfico de conexión de control.

Con tal firewall / NAT, la configuración anterior no es necesaria para un FTP sin cifrar. Pero esto no puede funcionar con FTPS, ya que el tráfico de conexión de control está cifrado y el firewall / NAT no puede inspeccionarlo ni modificarlo.