* Controllo connessione (Active Open): La connessione di controllo viene utilizzata per stabilire i parametri del trasferimento di dati, come il tipo di dati, la porta da utilizzare per il trasferimento dei dati e qualsiasi autenticazione necessaria. Il client inizia attivamente questa connessione perché deve dire al server cosa vuole fare. Il server ascolta passivamente su una porta ben nota (ad es. 22 per SSH, 21 per FTP). Il firewall in genere consente connessioni in entrata a queste porte stabilite, facilitando l'avvio della connessione di controllo da parte del client.
* Connessione dati (apertura passiva): Una volta stabilita la connessione di controllo, il server ascolta spesso passivamente per la connessione dati del client. Questo viene fatto per diversi motivi:
* Nat Traversal: La traduzione dell'indirizzo di rete (NAT) può complicare le cose. Un client dietro un router NAT potrebbe avere un indirizzo IP privato che non sia direttamente instradabile su Internet. Avere il server ascolta passivamente significa solo che il client deve conoscere l'indirizzo IP pubblico del server e la porta e il server gestisce i dettagli di ricezione della connessione dati. Il server potrebbe utilizzare tecniche come il trasferimento di porte o protocolli come Nat Traversal (ad esempio, stordizione o turno) per facilitare questo.
* Restrizioni del firewall: I firewall sono spesso configurati per essere più restrittivi sulle connessioni in uscita rispetto alle connessioni in entrata. Avendo il server ascoltare passivamente, il client deve solo avviare una connessione in uscita alla porta di controllo del server, che di solito è consentita. La connessione dati in entrata alla porta allocata dinamicamente del client potrebbe essere più difficile da consentire attraverso il firewall. Si noti che il client * deve ancora avviare la connessione dati.
* Sicurezza: In alcuni casi, è visto come più sicuro per il server accettare passivamente la connessione dati. Ciò potrebbe offrire una certa protezione contro determinati attacchi, sebbene il vantaggio principale qui sia Nat e Firewall Traversal.
In breve, la combinazione di una connessione di controllo attivo e una connessione di dati passiva è una strategia comune per aggirare le limitazioni e le restrizioni di sicurezza imposte da firewall e NAT. Il client stabilisce attivamente il canale di controllo per negoziare i termini e il server accetta passivamente il canale di dati per semplificare il percorso NAT e forse migliorare la sicurezza. L'implementazione esatta varia a seconda del protocollo (FTP, SSH, ecc.).
hardware © www.354353.com