Passive Mode

Este é um modo de acesso que permite que clientes acessando por trás de um firewall ou através de uma conexão compartilhada via NAT consigam acessar servidores de FTP normalmente.

O problema todo é que o protocolo FTP prevê o uso de duas portas, uma para envio de sinais de controle e comandos e outra para o envio dos dados propriamente ditos. No modo ativo (o tradicionalmente usado) o cliente utiliza a porta default do servidor de FTP (por default a 21) apenas para avisar que quer se conectar ao servidor.

O servidor responde ao cliente numa outra porta TCP escolhida de forma randômica (em geral acima da 1024) porta que é utilizada para transmitir os dados solicitados. A porta de dados é diferente a cada conexão (o que permite que vários clientes contatem o servidor simultâneamente) o que torna quase impossível configurar um firewall para permitir as conexões de resposta do servidor FTP sem deixar o cliente exposto a outros tipos de ataque. O resultado é que a grande maioria dos programas de compartilhamento de conexão não permitem que os clientes acessem utilizando o modo ativo.

O Passive Mode resolve o problema através de uma pequena mudança. Ao contatar o servidor, o cliente avisa que deseja utilizar o passive mode, o que faz com que o servidor responda à solicitação na mesma porta usada pelo cliente, avisando qual porta TCP/IP ele deve utilizar para iniciar a transmissão de dados.

O cliente contata novamente o servidor na porta indicada e os dados finalmente são transferidos. Neste caso o servidor se limita a responder às solicitações do cliente, justamente por isso chamamos de "modo passivo". Como o firewall se limita a bloquear conexões entrantes e não as iniciadas pelo cliente, é possível acessar servidores FTP normalmente, mesmo com várias máquinas acessando simultâneamente o mesmo servidor.