4. IP監(jiān) 聽(tīng)與連接控制
     vsftpd工作在模式（standalone）下的啟動(dòng)參數(shù)有兩項(xiàng)：
     listen=yes/no
     listen_ipv6=yes/no
     其中第一條已經(jīng)前面已經(jīng)提過(guò)了，第二條應(yīng)用在ipv6網(wǎng)絡(luò)環(huán)境中，這兩相參數(shù)只能有一條值為yes。
     在實(shí)際的網(wǎng)絡(luò)環(huán)境中，服務(wù)器通常都有多個(gè)IP地址，而每個(gè)IP地址連接不同的網(wǎng)段，我們可能并不希望在所有網(wǎng)段的上的計(jì)算機(jī)都能訪問(wèn)服務(wù)器。而默認(rèn)情況下，vsftpd將在所有的IP地址上監(jiān) 聽(tīng)，因此，我們需要下面兩行：
     listen_address=監(jiān) 聽(tīng) ip
     listen_address6=監(jiān) 聽(tīng) ip
     這兩行分別是針對(duì)IPv4和IPv6環(huán)境的。
     下面的兩項(xiàng)是vsftpd并發(fā)連接控制：
     max_clients=數(shù)字
     max_per_ip=數(shù)字
     參數(shù)max_clients設(shè)置了服務(wù)器可以接受的最大并發(fā)連接數(shù)量，max_per_ip設(shè)置了每個(gè)客戶端IP可以發(fā)起的最大連接數(shù)。針對(duì)服務(wù)器性能適當(dāng)設(shè)置這兩個(gè)參數(shù)，可以在服務(wù)器可接受的連接數(shù)量和連接速度之間找到平衡點(diǎn)。這兩項(xiàng)默認(rèn)值均為0，表示無(wú)限制。
     accept_timeout=數(shù)字
     connect_timeout=數(shù)字
     data_connection_timeout=數(shù)字
     idle_session_timeout=數(shù)字
     上面的數(shù)字都是以秒為單位的。其中 access_timeout 代表以 pasv數(shù)據(jù)連接模式的時(shí)候，數(shù)據(jù)連接的超時(shí)；connect_timeout 表示以 port模式連接數(shù)據(jù)連接時(shí)的超時(shí)時(shí)間；關(guān)于ftp服務(wù)連接模式下面會(huì)有詳細(xì)介紹。data_connection_timeout 表示數(shù)據(jù)連接后數(shù)據(jù)連接等待的空閑時(shí)間超時(shí)，超過(guò)時(shí)間后，數(shù)據(jù)連接將斷開(kāi)連接；idle_session_timeout 設(shè)置發(fā)呆時(shí)間，也就是客戶端隔多長(zhǎng)時(shí)間不與服務(wù)器有交互 ftp 命令，將自動(dòng)斷開(kāi) ftp 服務(wù)連接。
5. 關(guān)于連接端口設(shè)置
     我們知道 ftp 服務(wù)有一點(diǎn)是不同于其他的服務(wù)的是，ftp 服務(wù)使用的是 tcp 雙連接通道，也就是ftp-server 和 ftp-data 連接。我們可以這么理解：ftp-server 連接接受客戶端連接請(qǐng)求、并發(fā)控制、身份和權(quán)限認(rèn)證以及傳輸客戶端下達(dá)的命令。ftp-data連接負(fù)責(zé)傳輸數(shù)據(jù)，也就是說(shuō)當(dāng)有數(shù)據(jù)傳輸?shù)臅r(shí)候才會(huì)有這條連接。我們先來(lái)看一下 ftp-server 的設(shè)置：
     listen_port=端口號(hào)
     那么這條設(shè)置可以設(shè)置 ftp-server 端口號(hào)，默認(rèn)為21，如果我們指定了其它端口號(hào)，那么客戶端連接服務(wù)器上時(shí)就得使用指定端口號(hào)了。我們將這一行加入主配置文件中：
     listen_port=2121
     # ftp 127.0.0.1
     ftp: connect: Connection refused
     ftp> open 127.0.0.1 2121
     Connected to 127.0.0.1.
     220 (vsFTPd 2.0.5)
     530 Please login with USER and PASS.
     ……
     已經(jīng)看到效果了，接下來(lái)我們討論ftp-data連接的問(wèn)題。
     FTP數(shù)據(jù)傳輸有兩種模式：FTP Port模式和FTP Passive模式，兩種工作方式截然不同。
     FTP Port模式
     在FTP Port模式下，客戶端與服務(wù)器建立ftp-server連接之后，如果某條指令涉及到數(shù)據(jù)傳送，就需要建立ftp-data連接。其實(shí)連接步驟如下：
     (1) 客戶端啟用另一個(gè)高于1024的空閑端口xx做連接準(zhǔn)備，并且使用port命令利用ftp-server信道向服務(wù)器發(fā)送一個(gè)數(shù)據(jù)包，數(shù)據(jù)包里包含客戶端的IP地址和xx端口，告訴服務(wù)器客戶端xx端口已做好連接準(zhǔn)備。Port命令還支持第三方（third-party）模式，第三方模式是客戶端告訴服務(wù)器端打開(kāi)與另臺(tái)主機(jī)的連接。
     (2) 服務(wù)器以ftp-data端口（默認(rèn)為20）主動(dòng)向客戶端xx端口進(jìn)行連接。
     (3) 客戶端響應(yīng)服務(wù)器連接，并繼續(xù)完成三次握手后，ftp-data連接建立，開(kāi)始傳送數(shù)據(jù)。當(dāng)數(shù)據(jù)傳輸完畢后，服務(wù)器ftp-data端口就處于等待關(guān)閉狀態(tài)。
     我們看到，Port模式下ftp-data連接請(qǐng)求是由服務(wù)器發(fā)起的。現(xiàn)在來(lái)看一下vsftpd中關(guān)于Port模式的語(yǔ)句設(shè)置：
     port_enable=yes/no                               //是否啟用 port 模式
     connect_from_port_20=yes/no                    //port 模式下是否默認(rèn)使用固定的 20 端口
     ftp_data_port=port_number                        //指定 port 模式的端口號(hào)
     port_promiscuous=yes/no                 //是否使用安全的 port 模式
     將port_enable 設(shè)置為 yes，就采用 port 模式。在 port 模式下端口如果采用固定的20 端口，就把connect_from_port_20選項(xiàng)就設(shè)為yes，這是很多服務(wù)器默認(rèn)的設(shè)置規(guī)則。我們也可以指定其他的端口，那么這也就由ftp_data_port 來(lái)指定固定端口。port_promiscuous 默認(rèn)值為no，表示ftp-data連接之前檢驗(yàn)一下數(shù)據(jù)連接的目標(biāo)ip 的是否是真正客戶端的IP，反之則不檢查。除非你確保服務(wù)器是與真正的客戶端進(jìn)行連接，否則不要將此參數(shù)值改為yes。

最新評(píng)論