1. Architektura Dwóch Połączeń w FTP

Protokół Transferu Plików (FTP) działa w oparciu o unikalną, dwukanałową architekturę, która oddziela polecenia od danych. Zrozumienie tego rozdziału jest kluczowe dla pojęcia różnicy między trybem aktywnym a pasywnym. W każdej sesji FTP między klientem a serwerem ustanawiane są dwa odrębne typy połączeń:

• Połączenie Sterujące: Jest to kanał główny, ustanawiany, gdy klient FTP po raz pierwszy łączy się z serwerem. Zazwyczaj tworzone jest na dobrze znanym porcie serwera $21$. Połączenie to jest trwałe i pozostaje otwarte przez cały czas trwania sesji. Jego jedynym celem jest przesyłanie poleceń od klienta do serwera (np. 'USER', 'PASS', 'LIST', 'RETR') i odbieranie kodów statusu w odpowiedzi. Żadne dane plików nigdy nie są przesyłane tym kanałem.
• Połączenie Danych: Jest to wtórny, tymczasowy kanał tworzony na żądanie w celu przesyłania surowych danych. Obejmuje to zawartość plików (podczas wysyłania lub pobierania) oraz listy katalogów. Po zakończeniu transferu danych połączenie to jest zamykane. Dla każdego kolejnego transferu musi być ustanowione nowe połączenie danych.

Zasadnicza różnica między trybem aktywnym a pasywnym FTP leży wyłącznie w metodzie używanej do ustanowienia tego drugiego, tymczasowego połączenia danych. Wybór trybu określa, która strona, klient czy serwer, jest odpowiedzialna za zainicjowanie połączenia, co ma głębokie implikacje dla nowoczesnych środków bezpieczeństwa sieci, takich jak zapory sieciowe (firewall) i translacja adresów sieciowych (NAT).

2. Dogłębna Analiza Aktywnego Trybu FTP

Aktywny tryb FTP to oryginalna metoda określona we wczesnych standardach FTP. W tym modelu serwer jest odpowiedzialny za zainicjowanie połączenia danych z powrotem do klienta. Jest to często opisywane jako model "serwer-łączy-się-z-klientem" w kontekście transferu danych.

Przepływ Połączeń w Trybie Aktywnym

Sekwencja zdarzeń w trybie aktywnym przebiega następująco:

1. Komputer klienta otwiera losowy port (nazwijmy go $N$, gdzie $N$ > 1023) i używa go do zainicjowania połączenia sterującego z portem $21$ serwera FTP. Sesja rozpoczyna się od uwierzytelnienia i wymiany poleceń.
2. Gdy klient potrzebuje przesłać dane (np. wydaje polecenie 'LIST' lub 'RETR'), wybiera kolejny losowy port na swojej maszynie ($N+1$) i zaczyna na nim nasłuchiwać na przychodzące połączenie TCP.
3. Klient informuje serwer, na którym porcie nasłuchuje, wysyłając polecenie 'PORT' przez istniejące połączenie sterujące. Polecenie 'PORT' zawiera adres IP klienta i wybrany numer portu, sformatowane jako sześć wartości oddzielonych przecinkami. Dla klienta o adresie IP $192.168.1.100$ nasłuchującego na porcie $5200$ ($5200 = 20*256 + 80$), polecenie wyglądałoby tak:

   PORT 192,168,1,100,20,80

4. Serwer odbiera to polecenie 'PORT', potwierdza je, a następnie inicjuje nowe połączenie TCP ze swojego portu danych (który zawsze jest portem $20$) na adres IP i numer portu, które właśnie otrzymał ($192.168.1.100$ na porcie $5200$).
5. Po ustanowieniu tego połączenia danych, plik lub lista katalogów jest transferowana. Po zakończeniu transferu serwer zamyka połączenie danych. Połączenie sterujące na porcie 21 pozostaje otwarte.

Dlaczego Tryb Aktywny Zawodzi w Nowoczesnych Sieciach

Chociaż ten proces był logiczny dla wczesnego internetu, gdzie komputery były bezpośrednio połączone, jest on fundamentalnie niekompatybilny ze strukturą nowoczesnych sieci, głównie z powodu dwóch technologii:

• Zapory Sieciowe (Firewalle): Komputer klienta jest prawie zawsze chroniony przez zaporę sieciową (oprogramowanie w systemie operacyjnym lub sprzęt w domowym routerze). Domyślnie firewalle są skonfigurowane tak, aby blokować niechciane połączenia przychodzące z internetu ze względów bezpieczeństwa. Próba nawiązania połączenia danych przez serwer z losowym portem klienta ($N+1$) jest postrzegana przez firewall właśnie jako takie niechciane połączenie. W konsekwencji firewall odrzuca pakiety, połączenie nigdy nie zostaje nawiązane, a aplikacja klienta zawiesza się, ostatecznie kończąc się błędem przekroczenia czasu oczekiwania.
• Translacja Adresów Sieciowych (NAT): Większość klientów łączy się z internetem przez router, który wykonuje NAT. Oznacza to, że klient ma prywatny, nierutowalny adres IP (np. z zakresu $192.168.x.x$) w swojej sieci lokalnej. Adres IP, który wysyła w poleceniu 'PORT', to właśnie ten prywatny adres. Serwer FTP w publicznym internecie otrzymuje to polecenie i próbuje połączyć się z adresem takim jak $192.168.1.100$, który jest adresem prywatnym i całkowicie nieosiągalnym z zewnątrz. Próba połączenia kończy się niepowodzeniem, ponieważ serwer nie zna publicznego adresu IP routera klienta. Chociaż niektóre routery "świadome FTP" (tzw. Application Layer Gateway - ALG) mogą inspekcjonować ruch FTP, dynamicznie przepisywać adres IP i otwierać port, mechanizm ten bywa zawodny i nie jest gwarantowanym rozwiązaniem.

Z powodu tych poważnych ograniczeń, tryb Aktywny FTP jest rzadko użyteczny dla klientów we współczesnym internecie.

3. Tryb Pasywny FTP (PASV): Rozwiązanie Skoncentrowane na Kliencie

Tryb pasywny (powszechnie skracany jako PASV od nazwy polecenia) został opracowany specjalnie w celu przezwyciężenia problemów z firewallem i NAT nieodłącznie związanych z trybem aktywnym. W tym modelu odpowiedzialność za zainicjowanie połączenia danych zostaje przeniesiona z serwera na klienta. Jest to model "klient-łączy-się-z-serwerem" zarówno dla sterowania, jak i danych.

Przepływ Połączeń w Trybie Pasywnym

Sekwencja zdarzeń w trybie pasywnym jest następująca:

1. Komputer klienta otwiera losowy port ($N$) i używa go do zainicjowania połączenia sterującego z portem $21$ serwera FTP, tak samo jak w trybie aktywnym.
2. Gdy klient potrzebuje przesłać dane, zamiast otwierać port do nasłuchiwania, wysyła polecenie 'PASV' do serwera przez połączenie sterujące. To polecenie jest prośbą do serwera o przygotowanie się do połączenia danych.
3. Serwer odbiera polecenie 'PASV'. Następnie wybiera losowy, nieużywany port o wysokim numerze na swojej maszynie (nazwijmy go $P$) i zaczyna na nim nasłuchiwać na przychodzące połączenie danych.
4. Serwer odsyła swój publiczny adres IP oraz wybrany numer portu ($P$) z powrotem do klienta w odpowiedzi na polecenie 'PASV'. Odpowiedź zaczyna się kodem '227' i zawiera informacje adresowe sformatowane w tym samym stylu co polecenie 'PORT'. Dla serwera o adresie $203.0.113.50$, który otworzył port $49157$ ($49157 = 192*256 + 5$), odpowiedź brzmiałaby:

   227 Entering Passive Mode (203,0,113,50,192,5)

5. Klient odbiera tę odpowiedź, analizuje adres IP i numer portu, a następnie inicjuje nowe połączenie TCP ze swojej maszyny (z nowego losowego portu, $N+1$) na adres IP i port wskazany przez serwer.
6. Po ustanowieniu tego połączenia danych, plik lub lista katalogów jest transferowana. Po zakończeniu klient zamyka połączenie danych. Połączenie sterujące pozostaje otwarte.

Dlaczego Tryb Pasywny Jest Przyjazny dla Zapór i NAT

Ta pozornie niewielka zmiana w odpowiedzialności rozwiązuje główne problemy sieciowe trybu aktywnego.

• Przechodzenie przez NAT: Ponieważ to klient inicjuje oba połączenia (sterujące i danych), urządzenie NAT po stronie klienta poprawnie obsługuje translację adresów dla obu. Widzi dwa połączenia wychodzące od tego samego klienta wewnętrznego i mapuje ruch powrotny dla obu z powrotem do tego klienta bez żadnej specjalnej konfiguracji.
• Zgodność z Firewallem Klienta: Firewalle klienta są skonfigurowane tak, aby zezwalać na połączenia wychodzące inicjowane przez komputer użytkownika. Oba połączenia w trybie pasywnym, sterujące i danych, są z perspektywy klienta połączeniami wychodzącymi, więc zapora na nie zezwal.
• Konfiguracja po Stronie Serwera: Ciężar konfiguracji firewalla przenosi się na administratora serwera. Musi on skonfigurować zaporę serwera tak, aby akceptowała połączenia przychodzące nie tylko na porcie $21$, ale także na predefiniowanym zakresie portów, których demon FTP będzie używał do pasywnych połączeń danych (np. porty $50000$-$51000$). Jest to standardowe i dobrze zrozumiałe zadanie konfiguracyjne dla każdego administratora serwera FTP.

Ponieważ rozwiązuje te fundamentalne problemy z łącznością, tryb pasywny jest domyślnym i zdecydowanie zalecanym trybem dla niemal wszystkich zastosowań FTP w internecie dzisiaj.

4. Podsumowanie Porównawcze: Tryb Aktywny vs. Pasywny FTP

5. Rozszerzony Tryb Pasywny (EPSV) dla Nowoczesnego Internetu

Znaczącym ograniczeniem oryginalnych poleceń 'PORT' i 'PASV' jest ich jawne poleganie na formacie adresu IPv4. Sposób, w jaki komunikują adres IP i port (np. '(192,168,1,100,20,80)'), nie działa dla adresów IPv6, które są znacznie dłuższe i inaczej ustrukturyzowane. Aby rozwiązać ten problem i uprościć proces, wprowadzono Rozszerzony Tryb Pasywny w dokumencie RFC 2428.

• Polecenie 'EPSV': Klient obsługujący IPv6 i nowoczesne FTP najpierw spróbuje użyć polecenia 'EPSV' zamiast 'PASV'. To polecenie po prostu prosi serwer o przygotowanie portu do połączenia danych, bez określania protokołu sieciowego.
• Odpowiedź na 'EPSV': Odpowiedź serwera jest znacznie czystsza. Zakłada on, że klient połączy się z tym samym adresem IP, którego już używa do połączenia sterującego, i podaje tylko numer portu, oddzielony specjalnym znakiem.

  229 Entering Extended Passive Mode (|||49157|)

  Tutaj '|||' są separatorami, a '49157' to numer portu TCP, z którym klient powinien się połączyć.
• Korzyści: Ten format jest agnostyczny wobec protokołu sieciowego, działając identycznie dla połączeń IPv4 i IPv6. Większość nowoczesnych klientów FTP spróbuje najpierw użyć 'EPSV' i dopiero jeśli serwer wskaże, że nie obsługuje tego rozszerzonego polecenia, powróci do 'PASV'. Istnieje również odpowiadające mu polecenie 'EPRT' dla trybu aktywnego zgodnego z IPv6, ale cierpi ono na te same fundamentalne problemy z firewallem, co oryginalne polecenie 'PORT'.