¿FTP pasivo o activo?

No me gusta el protocolo FTP, es viejo, lento, inseguro, no confiable, medio oxidado y hay que tener a mano unos cuantos shenanigans para que funcione firewall mediante. Sin embargo es un protocolo que sigue siendo ampliamente usado —ni preguntes por qué— y por ende es importante conocer cómo funciona.

Active FTP

El cliente se conecta a partir de un puerto N mayor que 1023 al puerto 21 (command) del servidor. Posteriormente el cliente comienza a escuchar en el puerto N+1 y envía el comando PORT N+1 al servidor que se conecta al puerto data del cliente desde el puerto 20 (data local).

CLIENTE       SERVIDOR

  >1023   →   21 (command)

>1023+1   ←   20 (data)

Passive FTP

El cliente inicia las conexiones a través de dos puertos (N>1023 y N+1). La primera conexión se hace hacia el puerto 21 del servidor donde el cliente envía el comando PASV. El servidor abre un puerto aleatorio (P>1023) enviándolo al cliente en respuesta al comando PASV. Por último, el cliente establece la conexión a partir del puerto N+1 con el puerto P en el servidor para la transferencia de datos.

CLIENTE       SERVIDOR

  >1023   →   21 (command)

>1023+1   →   >1023 (data)

¿Activo o pasivo?

Usar o no uno de estos dos modos depende de la posición en que se esté. En el modo activo el administrador solo se preocuparía por abrir el puerto 21 para recibir las conexiones del cliente, sin embargo el cliente debe permitir recibir tráfico hacia puertos altos aleatorios o de otro modo de existir un firewall en su máquina bloquearía la transferencia de datos.

En el modo passivo la conexión command siempre se hace al puerto 21, sin embargo la transferencia de datos se hace a través de un puerto aleatorio >1023 lo que pudiera ser un problema de seguridad del lado del servidor.

Desde el punto de vista del administrador de sistemas lo más sensato sería utilizar el modo pasivo, los puertos altos se pueden especificar en el firewall minimizando los riesgos, claro está, los clientes deben conocer qué rango fue el especificado.