Active mode — FTPda data connectionni server mijoz tomoniga boshlab beradigan ulanish rejimidir. Mijoz control connection orqali serverning 21-portiga ulanadi, keyin qaysi IP va portda data connection kutayotganini PORT yoki EPRT buyrug‘i bilan bildiradi. Server data uzatish uchun shu manzilga alohida TCP ulanishi ochadi.
Ikki ulanish modeli
FTP buyruq va javoblar uchun control connectionni, katalog ro‘yxati yoki fayl uchun esa data connectionni alohida ishlatadi. Active rejimda control connection mijozdan serverga, data connection esa serverdan mijozga yo‘naladi. Tarixiy modelda server data ulanishini 20-portdan boshlashi mumkin, ammo zamonaviy implementatsiya va xavfsizlik siyosatida aniq xatti-harakat farq qilishi mumkin.
Har LIST, RETR yoki STOR amali uchun yangi data connection yaratilishi mumkin. Control channel sessiya davomida ochiq qoladi. Data transfer tugagach server control channel orqali yakuniy status yuboradi; mijoz faqat data socket yopilganiga qarab muvaffaqiyat deb hisoblamaydi.
PORT va EPRT
PORT klassik IPv4 manzil va portni oltita son orqali kodlaydi. Port qiymati ikki oktetdan hisoblanadi. EPRT kengaytirilgan va o‘qilishi osonroq formatda address family, manzil hamda portni beradi; IPv6 bilan ham ishlashi mumkin.
Mijoz yuborgan manzil control connection manzilidan farq qilsa, FTP bounce attack xavfi paydo bo‘ladi: server uchinchi tomonga ulanish uchun ishlatilishi mumkin. Xavfsiz server PORT yoki EPRT manzilini autentifikatsiyalangan control peer bilan cheklaydi va taqiqlangan portlarni rad etadi.
NAT va firewall muammosi
Mijoz NAT ortida bo‘lsa, u o‘zining private IP manzilini yuborishi mumkin; server Internetdan bu manzilga ulana olmaydi. NAT gateway control payloadni tushunib manzilni almashtiradigan FTP helper ishlatishi mumkin, lekin TLS bilan shifrlangan FTPSda payload ko‘rinmaydi. Helperlar murakkablik va xavfsizlik muammosi ham keltiradi.
Client firewall tashqaridan keladigan yangi TCP ulanishni odatda bloklaydi. Active mode ishlashi uchun mijoz e’lon qilgan portga inbound ruxsat kerak. Korporativ va uy tarmoqlarida bu noqulay bo‘lgani sabab passive mode kengroq qo‘llanadi.
Server tomonidagi cheklovlar
Active rejim serverdan tashqi manzilga yangi connection ochishni talab qiladi. Egress firewall va container network policy bunga ruxsat bermasligi mumkin. Server source IP bir nechta interfeysli muhitda control connectionnikidan farq qilsa, mijoz firewalli uni kutilmagan manba deb rad etishi mumkin.
Data channel TLS bilan himoyalansa, control channeldagi himoya darajasi va certificate siyosati bilan muvofiq bo‘lishi kerak. FTPS data connection reuse va session resumption kabi tafsilotlar client–server mosligiga ta’sir qiladi.
Diagnostika
Control logda PORT yoki EPRT argumenti, serverning ulanish urinish manzili va TCP xatosi tekshiriladi. Packet capture SYN qaysi tomondan chiqqanini va firewall qayerda to‘xtatganini ko‘rsatadi. Login muvaffaqiyatli, ammo LIST vaqtida timeout bo‘lishi ko‘pincha data channel muammosidir.
Active va passive rejimni almashtirish diagnostika signali bo‘lishi mumkin, lekin shifrlanmagan FTPga qaytish xavfsiz yechim emas. Zamonaviy muhitda SFTP yoki HTTPS bitta asosiy ulanish modeli bilan firewall boshqaruvini soddalashtirishi mumkin.
IPv6
IPv6da NAT muammosi kamayishi mumkin, ammo client firewall inbound data connectionni baribir cheklaydi. EPRT address familyni ochiq ko‘rsatadi va eski PORT formatining IPv4ga bog‘liqligini bartaraf etadi. Dual-stack muhitda control va data yo‘llarining address familysi izchil tekshiriladi.
Bog‘liq tushunchalar
FTP, Passive mode, PORT, EPRT, Data connection, NAT, Firewall