n1ftp服务器

Ⅰ ftp进行控制连接时使用的默认端口号为

【答案】:D
FTP文件传输服务,默认情况下,其控制端口为TCP 21,上传文件时的端口为数据端口为TCP 20。80号端口为HTTP协议的默认端口,大于1024的端口为客户端自定义端口。

FTP是一种基于TCP的高级文件协议,在传输过程中,主要分为连接建立和数据传输两部分,响应的涉及服务器端的命令端口和数据端口。 建立连接是一种基于tcp的三次握手模型,对于ftp服务器,它使用固定的21命令端口与客户端进行通信。 在数据传输期间、ftp传输期间,通过在服务端数据通信期间选择不同的数据端口,可以将ftp分为主动模式(Port )和被动模式(Pasv )。 对于客户端,这两种模式对端口没有固定性,只能在创建时主动指定本地端口或随机端口,但对于服务器,可以使用服务器上固定的20个端口,或服务器根据连接立即指定1025个或更多数据端口但是,命令传输端口对服务器来说始终是21个端口。

FTP服务端支持两种模式。 在具体的通信过程中,选择哪个模式取决于客户端的选择。 然后介绍了两种模式的具体流程和相关原理。

1.ftp两种运行模式

Port模式(主动)

FTP客户端从任何非特殊端口(N 1023 )连接到FTP服务器命令端口21。 然后,客户端在n1(n1=1024 )端口上监听,并通过n1(n1=1024 )端口向FTP服务器发送命令。 服务建立从服务20端口到用户本地指定端口的数据传输连接。

处于活动模式的FTP的主要问题实际上在于客户端。 FTP客户端不会主动连接到服务器的数据端口,而是告诉服务器正在接收哪个端口,然后服务器开始连接到客户端上的指定端口。 但是,这样的连接有时候会被客户端的防火墙阻止

具体原理

以下是活动模式下的FTP的具体示例。

在活动模式的FTP中,客户端通过随机非系统端口(N 1023 )连接到FTP服务器的命令端口21。 然后,客户端开始监听端口N 1,并将FTP命令端口N 1告诉FTP服务器“请将数据发送到我的N 1端口”。 然后,服务从本地数据端口(端口20 )连接到客户端数据端口,即N 1端口。

由于服务器防火墙已隔离,因此必须确保从服务器FTP到客户端的以下几个通道已顺利进行:

FTP服务器端口21 (接受所有客户端) ) ) ) ) ) ) )。

FTP服务器端口21~1023 (服务器响应客户端控制端口)

FTP服务器端口20到1023上的端口(服务器开始连接到客户端数据端口)。

从1023端口到FTP服务器端口20 (客户端向服务器数据端口发送ack ) )。

用图表示这些通道:

在步骤1中,客户端命令端口连接到服务器命令端口,并发送命令端口1027。 然后,服务在步骤2中将ACK发送回客户端命令端口。 在步骤3中,服务在本地数据端口上启动连接,并连接到前面指定的客户端数据端口。 最后,客户端返回ACK,如步骤4所示。

Pasv模式(被动)

Pasv是Passive的缩写,中文处于被动模式。 工作原理: FTP客户端连接到FTP服务器的21个端口,并通过发送用户名和密码进行登录。 成功登录后,读取list列表或数据时,将Pasv命令发送到FTP服务器。 服务器本地随机开放一个端口(1024或更高),将开放端口传递给客户端,然后客户端连接到服务器的开放端口进行数据传输

被动模式的FTP的具体例子如下所示。

在被动模式的FTP中,客户端启动到服务器的两个连接,以解决防火墙阻止服务器到客户端的传入数据端口连接的问题。 建立FTP连接后,客户端将在本地打开两个随机的非系统端口n和n1(n1023 )。 第一个端口连接到服务器的21个端口,但客户端现在发出PASV命令。 这意味着服务器不能重新连接到数据端口。 这将使服务打开随机的非系统端口p(p1023 ),并将p发送到客户端以响应PASV命令。 然后,客户端启动从端口N 1到端口p的连接并传输数据。

被动模式保持以下通道的平滑度:

FTP服务器的21个端口(接受所有客户端)

从FTP服务器的21端口到1023端口的远程端口(服务器响应客户端控制端口) ) ) )。

FTP服务器1023上的端口(从所有客户端接受到服务器指定随机端口的连接)。

从FTP服务器1023的端口到1023的远程端口(服务器将ack和数据发送到客户端数据端口)。

被动模式用图表示:

在步骤1中,客户端通过命令端口连接到服务器并发出PASV命令。 然后,服务在步骤2中使用端口2024进行响应,并通知客户端正在接收的数据连接

口。第 3 步,客户端启动从其数据端口到指定服务器数据端口的数据连接。最后,服务器在第 4 步将 ACK 发送回客户端的数据端口。

      被动模式的FTP的需要在服务端进行开放端口区段设置,用来开放给客户端进行连接,如果被动模式下,出现客户端可以访问ftp服务端文件的列表,但是无法进行下载等进一步操操作,出现这种问题的原因,是服务端的文件无法被读取或者是无法通过网络端口进行传输。可以按照以下步骤进行排查:

1)检查服务端端对文件的权限设置是否完全,登录用户是否存在下载权限;

2)如果登录用户存在下载权限,那么需要进一步检查服务器端的数据传输接口是否开放,如果有防火墙的话,是否配置了防火墙的出站入站端口规则;

3)如果仍然存在问题,检查被动模式下的ftp服务器的数据端口设置是否进行指定,默认是1025-6000,指定的端口区段是否已经配置了防火墙的出站规则;

2.两种模式的比较

     从上面的运行原来看到,主动模式和被动模式的不同简单概述为: 主动模式传送数据时是“服务器”连接到“客户端”的端口;被动模式传送数据是“客户端”连接到“服务器”的端口。

    主动模式需要客户端必须开放端口给服务器,很多客户端都是在防火墙内,开放端口给FTP服务器访问比较困难。

    被动模式只需要服务器端开放端口给客户端连接就行了。

3.不同工作模式的网络设置

    我在实际项目中碰到的问题是,FTP的客户端和服务器分别在不同网络,两个网络之间有至少4层的防火墙,服务器端只开放了21端口, 客户端机器没开放任何端口。FTP客户端连接采用的被动模式,结果客户端能登录成功,但是无法LIST列表和读取数据。很明显,是因为服务器端没开放被动模式下的随机端口导致。

    由于被动模式下,服务器端开放的端口随机,但是防火墙要不能全部开放,解决的方案是,在ftp服务器配置被动模式下开放随机端口在 50000-60000之间(范围在ftp服务器软件设置,可以设置任意1024上的端口段),然后在防火墙设置规则,开放服务器端50000-60000之间的端口端。

    主动模式下,客户端的FTP软件设置主动模式开放的端口段,在客户端的防火墙开放对应的端口段。

    4.常见的ftp客户端设置被动模式

(1)IE:工具 -> Internet选项 -> 高级 -> “使用被动FTP”(需要IE6.0以上才支持)。(2)CuteFTP:Edit -> Setting -> Connection -> Firewall -> “PASV Mode” 或File -> Site Manager,在左边选中站点 -> Edit -> “Use PASV mode” 。(3)FlashGet:工具 -> 选项 -> 代理服务器 -> 直接连接 -> 编辑 -> “PASV模式”。(4)FlashFXP:选项 -> 参数选择 -> 代理/防火墙/标识 -> “使用被动模式” 或 站点管理 -> 对应站点 -> 选项 -> “使用被动模式”或快速连接 -> 切换 -> “使用被动模式”。

极速赛车五码稳赢技巧否完全,登录用户是否存在下载权限;

2)如果登录用户存在下载权限,那么需要进一步检查服务器端的数据传输接口是否开放,如果有防火墙的话,是否配置了防火墙的出站入站端口规则;

3)如果仍然存在问题,检查被动模式下的ftp服务器的数据端口设置是否进行指定,默认是1025-6000,指定的端口区段是否已经配置了防火墙的出站规则;

2.两种模式的比较

     从上面的运行原来看到,主动模式和被动模式的不同简单概述为: 主动模式传送数据时是“服务器”连接到“客户端”的端口;被动模式传送数据是“客户端”连接到“服务器”的端口。

    主动模式需要客户端必须开放端口给服务器,很多客户端都是在防火墙内,开放端口给FTP服务器访问比较困难。

    被动模式只需要服务器端开放端口给客户端连接就行了。

3.不同工作模式的网络设置

    我在实际项目中碰到的问题是,FTP的客户端和服务器分别在不同网络,两个网络之间有至少4层的防火墙,服务器端只开放了21端口, 客户端机器没开放任何端口。FTP客户端连接采用的被动模式,结果客户端能登录成功,但是无法LIST列表和读取数据。很明显,是因为服务器端没开放被动模式下的随机端口导致。

    由于被动模式下,服务器端开放的端口随机,但是防火墙要不能全部开放,解决的方案是,在ftp服务器配置被动模式下开放随机端口在 50000-60000之间(范围在ftp服务器软件设置,可以设置任意1024上的端口段),然后在防火墙设置规则,开放服务器端50000-60000之间的端口端。

    主动模式下,客户端的FTP软件设置主动模式开放的端口段,在客户端的防火墙开放对应的端口段。

    4.常见的ftp客户端设置被动模式

(1)IE:工具 -> Internet选项 -> 高级 -> “使用被动FTP”(需要IE6.0以上才支持)。(2)CuteFTP:Edit -> Setting -> Connection -> Firewall -> “PASV Mode” 或File -> Site Manager,在左边选中站点 -> Edit -> “Use PASV mode” 。(3)FlashGet:工具 -> 选项 -> 代理服务器 -> 直接连接 -> 编辑 -> “PASV模式”。(4)FlashFXP:选项 -> 参数选择 -> 代理/防火墙/标识 -> “使用被动模式” 或 站点管理 -> 对应站点 -> 选项 -> “使用被动模式”或快速连接 -> 切换 -> “使用被动模式”。

Ⅱ 电脑中的 bind()错误是什么

Berkeley Internert Name Domain(BIND)是我们所熟知的域名软件，它具有广泛的使用基础，Internet上的绝大多数 Py`<W
DNS服务器都是基于这个软件的。BIND目前由ISC(Internet Software Consortium)负责维护，具体的开发由 7! J"|RRH*
Nominum(www.nominum.com)公司来完成。下面编译的这个常见问题集就是由该公司所发布的（同时也见于 @W(6pyQd
http://www.isc.org/bind)，可以说，它具有较强的针对性和实用性。 V;gkSh*^i
1） 哪里可以找到BIND? j 9|KD
BIND以源码的格式发布。当前的版本为BIND 9,不过BIND 8.2.2-P5仍然是广泛发布的版本。考虑到早期版本的安全问 FGX G7vl
题，如果您还在运行比8.2.2-P5更早的版本，那么我们强烈推荐您升级软件。 RB2/TwDZ%
以下的URL包括了源码和其他相关资源的链接，你可能会觉得很有用处： &]L~(kL
http://www.isc.org/procts/BIND/ I4o^<P+
源码也可以使用ftp从ftp://ftp.isc.org/isc/bind/src/8.2.2-P5/bind-src.tar.gz 获得。 'f Vw$0W
镜像BIND的ftp服务器列表和其它ISC维护的开发源码软件可以在ftp://ftp.isc.org/isc/MIRRORS上找到。 `1N.=
W
2） 怎样安装BIND? l.%B,bUg
下载源码到一个空的目录。如果你需要的话，你也可以下载文档和捆绑的包。 OqOA*AnNK[
接下来，你需要解压（unzip）和解包（untar）发布的包。 <n1],wY
gunzip < bind-src.tar.gz | tar xf - w

0_x\
然后，你需要编译和安装软件。常见src/INSTALL以获知指令。在安装之前请备份系统，因为安装可能会覆盖旧的二进制 a_$ Xi
代码；这是依赖于系统的。 W"$w57
如果你是从BIND 4转过来的，那么你需要将配置文件named.boot转成新的语法。这里包含了一个转换程序。 Q-! |C
named-bootconf }
(y
< /etc/named.boot w1'SM}J%
> /etc/named.conf 9JE
C+]6
同时，如果你正从BIND 4转换而来，那么系统启动脚本需要进行修改，以使之查找/etc/named.conf，而不是 z$Tk?0*a
/etc/named.boot。 f o+-<s
接着，你需要终止老的named并启动新的。 TD:^&o+
kill -TERM tF /[A-
ndc start [#yE)| Q
检查系统日志（在大多数Unix系统上，错误都存放在/var/adm/messages中），因为当前的版本比先前的版本容错性会差 g^|3;F2j
一些。 cw%V0r
3） 哪里有基于NT的BIND? {}x.lWT-
最新的基于NT的BIND可以从ftp://ftp.isc.org/isc/bind/src/8.2.2-P5/bind-src.tar.gz上的8.2.2p5源码中找 R zsW2.& 
到。你应该能够使用WinZip来解压/解包8.2.2p5文件。一旦解压了源码，你会在src/port/winnt目录下找到NT的移植程 ]NcAW6"
序。你需要Visual C++ 6.0来编译它。 lyh=!F*X4
4） 哪里可以找到有关BIND的信息？ l;,wcU
i
先从http://www.isc.org/procts/BIND/开始。 DA #S
对于BIND用户，有一个可用的邮件列表。使用http://www.isc.org/services/public/lists/bind-lists.html上的表 sw*ryaPHw
单订阅。在你提交你的问题到邮件列表之前，请检查邮件列表的档案以查看是否你的问题已经回答过了。可搜索的 gPoZfV
bind-users邮件列表档案位于http://www.isc.org/ml-archives/bind-users/。 p6ba)>r
Bind-users邮件列表同时指向了中等的Usenet新闻组comp.protocols.dns.bin.你可以在http://www.deja.com/上搜 <SjBK\.>
索该新闻组。 )6=~|6c^
BIND的"圣经"是DNS and BIND,Third Edition,作者：Paul Albitz和Cricket Liu。 - ]*R[}a8p
5） 为什么我应该升级BIND到最新的版本？ b>NV)
最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。 V)]OHyC6{
6） 我现在使用的是BIND的什么版本？ ohF8Rfr/2
有几种方法可用来确定你正在使用什么版本的BIND。请注意有一些是针对于特定操作系统的，而其它一些不能在早于 b>\F K
4.9.5的BIND版本上工作。我们会在下面的描述中指明这些限制。 5pB5KCV
● 最简单的告知版本号的方法是查找named启动时写到系统日志文件中的消息。例如： #I Q1
Jul 14 12:54:21 ns named[15677]: starting. named 8.2.2-P5 !\cM,+6R
Jul 14 12:54:21 [email protected]:/usr/sbin/named C<ruBa9Z
● named带"-v"开关会显示版本： 0Hq N[ @
# named -v ''dfa<5%I
named 8.2.2-P5 Thu Jul 20 17:19:57 PDT 2000 g-qJi ~6#
[email protected]:/usr/sbin/named ;lM _
● 当使用更新版本的BIND时，BIND的name后台守护程序的控制接口程序可以提供版本信息： *${\w`H
ndc status (+-S_A(o
● 源代码控制系统（SCSS）的"what"命令提供了文件的标示信息。 Bh(iA\/
what /named e5r8_50ut|
以下命令当在运行BIND 4.9.5及以上版本的服务器上检查时会起作用。这两个程序都包括在BIND的发布版本中。 "$CYOoa
●nslookup _|h1 
# nslookup h;*Hd>W>_
Default Server: ns.yourco.bogus (?j47Ts
Address: 333.333.333.333 _K)pf
> set class=chaos ve;qLn/o
> set type=txt ;["?u S
> version.bind @c.rC090
Server: ns.yourco.bogus "^L%]
Address: 333.333.333.333 i3ovFUs(
VERSION.BIND text = "8.2.2-P5" x]OiQL%jz
〉 cf1V^v3
●dig :.hnR&>r;
dig version.bind txt chaos @ server name z$X1,h.\U
或者 W*1?87<'r
dig @ server name txt chaos version.bind  ^f$7t
7） 我得到一个错误提示:No default TTL set using SOA minimum instead.为什么会这样？怎么办？ D3rJ0m7[
从BIND 8.2开始，你需要一条$TTL指示来设置域的默认TTL。可在域的SOA记录之前添加一条'$TTL XXXXXX'指示。 .X Xv2R
（XXXXXX表示计算到秒的默认TTL.） ..s6$i#@
8） 主机名可使用哪些有效字符？ IG/*CJ}@
主机名可以包括字母，数字以及连字符，但不能以连字符开头。下划线（_）在主机名中不是有效的字符。尽管有一些DNS ^b{ 
服务软件包可以允许下划线在主机名中出现，但大多数是不行的。使用一个带有下划线的域或者主机名会导致大多数 @em=?gla
Internet上的名字服务器不能识别相关的主机/IP地址。 s5Av"Jy:k
9） 为什么当我在本域中的一台主机上使用nslookup时会得到non-authoritative的答复？ Q*z
"m |
这通常发生在域（zone）文件中有错误出现的时候。检查系统日志文件'messages'以查证错误。 GtZ(rVA0F/
10） 我已经修改了自己的域，但是在Internet上的其它地方看不到这种改变，为什么？ nE8IaTpT
每当你修改了你的域文件，例如当你添加或者修改了主机记录的时候，你也必须更新域的SOA记录的文件版本，或者是 ]Bl.m:vMc
"serial number"，因为名字服务器从你的服务器检索信息时需要知道发生了修改。如果从上次查询之后版本号没有修 q6BW*<
改，就不会执行更新。举例如下： Dl6]iB
; foo.com. DuB;X\E`{
$TTL 14400 |6p ^Gz.H,
@ IN SOA o.8J#XJP*
someplace.foo.com. admin.foo.com. ( K$i<D) c
1 ; this file's version -- change I2NfG ~9 J
43200 ; refresh twice a day yj~cD9:(e
1800 ; retry refresh every 15 minutes yj->X7}+'
604800 ; expire after 1000 hours (over week) Ve
\2#Yh
259200 ) ; minimum TTL of 3 day t~?^o!Q
显而易见，带'file's version'的行是我们想要修改的。版本序号可以为任何数字；1，2，3，4或者2001，2002， ngx6}[tgV
2003，等等。唯一的限制是版本号不能多于10位。在这个示例中，如果你对域文件作了修改，你需要将版本序号改为 TSBSfc4zu
'2'。 $g_TC
dN%
11） 为什么没有IP地址？ ((${Ea1
在/etc/resolv.conf中没有名字服务器记录。 4o _G ,/G_
12） 在我的日志文件中出现的"lame server"错误是什么？ Aa]0IY'7jp
"lame server"指的是不能确信其是否具有域的授权的服务器。如果你有lame server，或者是授权给了lame server的 I<zvq!Z)
域，那么"lame server"消息很有用。如果你宁愿不看到"lame server"消息，你可以使用logging语句丢弃它们： YbA ]9uB
logging { X TDb R]
category lame-servers{ null; }; $=?:-f5 
}; LOFv5H4I
13） Microsoft Windows 2000和BIND的关系怎样？ MFY813 `
BIND默认会检查所有记录以确保只在需要主机名的地方使用了主机名，这能够防止意外的一致性问题。 <;+\&u7x*
Microsoft Windows 2000使用一个称为"_msdcs"来存放动态目录数据。尽管这种子域不会与合法的主机名产生不一致， p\9x[9:iR1
但是也使得在子域中存放非法的主机名成为可能。这种主机名的使用默认是被BIND拒绝的。 @YS osEk}
动态目录希望在_msdcs中有"全局目录(global catalog)"(例如，gc._msdcs.example.com),这默认是拒绝的。为了解 Q/&"5rvC
决此问题,我们推荐动态目录设为独立的域(例如,"_msdcs.example.com")并配置成不检查非法的主机名。这应该是合理 -'Z ~(su
的，因为Window 2000服务器创建这些数据，而且不应该会与其它希望访问这些数据的Windows 2000机器产生不一致问 iIaj )ihQI
题。 })7p M`a
例如， WI:kRt1
zone "_msdcs.example.com" { >x=?UPe8
type master; }26- @:
file "_msdcs.example.db"; JCbt$6Tv
check-names ignore; @eaD5'$bt)
allow-update { localnets; }; ec?mz?
}; sU QfN{:
14） 什么是TSIG key? (+5m(CvN
TSIG key提供了一种鉴别和验证交换的DNS数据有效性的方法，它在解析器和服务器之间或者两台服务器之间使用一个密  cy_*
钥。 Z lY<!
15） 我怎样使用TSIG key来动态更新我的DNS? 1vB(T!9%
首先你需要使用以下命令生成一个TSIG密钥（我们将使用tsig-key作为密钥文件名）： (+zhM'Z
dnskeygen -H 128 -h -n tsig-key。 Vh#X8 S 4
这会生成一对密钥文件： AvU =D$a
'Ktsig-key.+157+00000.key'，这是一个ASCII文件，它包括以下行： YML|F;
tsig-key. IN KEY 513 3 157 <$u32YI H.
awwLOtRfpGE+rRKF2+DEiw== t 9 O;*rv
和 rmbW3!bh
'Kvip-key.+157+00000.private' ，这包括： N&-tX$iLa5
Private-key-format: v1.2 Algorithm: 157 (HMAC) .bkk
{&*{
Key: awwLOtRfpGE+rRKF2+DEiw== i5:W'g1b?
你将需要获取base64编码的密钥awwLOtRfpGE+rRKF2+DEiw== 并在配置你的服务器命名设置中使用它。例如： J,6Ir/f"b
key tsig-key. { algorithm hmac-md5; secret "awwLOtRfpGE+rRKF2+DEiw=="; }; rkn#b:Dxq
zone "ddns.dregis.com" { 3K|*Bd()t
... 0z]o0= {
... l40iikt
allow-update { key tsig-key. ; }; ImBFtHXYo
} 
kJVcF)
记得在这之后重启named。 UEPu;.#=Q
然后，你需要复制这两个密钥文件到客户系统的某个位置（例如使用/var/named/tsig）。最后，你需要运行以下命令： dC*\GwP
nsupdate -k /var/named/tsig:tsig-key。 FCr\
16） 在named.conf中的'forwarder'选项有何作用？ EKH!_!
forwarder行告诉服务器转发所有查询，因为它对另一个域名服务器没有授权或缓冲的数据。

Ⅲ 什么叫DMZ区DMZ区有什么作用应该怎样构建DMZ

它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。
生动解释：您的公司有一堆电脑，但可以归为两大类：客户机、服务器。所谓客户机就是主动发起连接请求的机器，所谓服务器就是被动响应提供某些服务的机器。服务器又可以分仅供企业内网使用和为外网提供服务两种。
OK，您只要按以下规则配置防火墙，就构造了一个DMZ区（您也可以叫love区，随您）：
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网