Ubuntu vsftpd传输模式选择建议

Ubuntu 上 vsftpd 传输模式选择建议

快速建议

• 默认选择被动模式（PASV）。大多数客户端位于NAT/防火墙之后，主动模式需要服务器主动连回客户端高位端口，常被拦截；被动模式由客户端发起数据连接，穿透性更好。生产环境优先使用本地用户或虚拟用户并禁用匿名访问，以提升安全性。

场景化选择

• 客户端在NAT/企业防火墙后（如家庭宽带、办公网）：优先用PASV；若客户端在内网且无公网 IP，主动模式基本不可用。
• 服务器在公网、客户端也在公网且中间无限制：两种模式均可。为减少跨网段/跨运营商的 NAT/状态防火墙干扰，仍建议PASV。
• 客户端在内网、服务器在公网（如云服务器 ECS）：必须用PASV，并在服务器固定一段被动端口范围，同时在云安全组/本机防火墙放行该范围。
• 仅传大文件或目录列表频繁：优先PASV，并配合客户端设置为二进制传输模式，避免文本模式导致的文件损坏。

被动模式配置要点（Ubuntu）

• 核心配置（/etc/vsftpd.conf）：
  • 禁用匿名、启用本地用户与写入：anonymous_enable=NO；local_enable=YES；write_enable=YES
  • 监听与地址：listen=YES；listen_ipv6=NO
  • 限制与根目录：chroot_local_user=YES；allow_writeable_chroot=YES；local_root=/var/ftp/test
  • 被动模式与公网地址：pasv_enable=YES；pasv_address=<服务器公网IP>
  • 固定被动端口范围（示例）：pasv_min_port=50000；pasv_max_port=51000
• 防火墙放行（示例）：
  • UFW：sudo ufw allow 21/tcp；sudo ufw allow 50000:51000/tcp
  • nftables/iptables：放行 21/tcp 与 50000–51000/tcp 区间
• 重启生效：sudo systemctl restart vsftpd
• 说明：固定端口范围便于安全组/防火墙策略管理，也便于排障。

主动模式配置要点（仅在必要时）

• 核心配置（/etc/vsftpd.conf）：
  • pasv_enable=NO
  • connect_from_port_20=YES（由服务器数据端口 20 主动连客户端）
• 防火墙放行（示例）：
  • 入站：放行 21/tcp
  • 出站：放行 20/tcp 与已建立/相关的连接（RELATED,ESTABLISHED）
• 适用前提：客户端具备公网 IP且中间网络设备允许服务器到客户端的入站数据连接；在 NAT/严格防火墙环境下通常不适用。

常见排障与安全提示

• 目录列表卡住或数据连接失败：客户端切换到被动模式；服务器确认已固定并放行pasv_min_port–pasv_max_port；必要时加载ip_conntrack_ftp模块以处理 FTP 数据连接的 NAT 关联（仅在使用模块追踪方案时）。
• 登录或切换目录被拒：检查 chroot 相关设置与目录权限；若使用本地用户并启用 chroot，需设置allow_writeable_chroot=YES（或采用更安全的最小权限方案）。
• 传输大文件损坏：客户端使用二进制模式；必要时调整客户端缓冲区大小以优化稳定性与速度。
• 安全性：生产环境禁用匿名访问，优先本地/虚拟用户；如需加密传输，启用 SSL/TLS（vsftpd 的 ssl_enable）；限制并发与速率（如 local_max_rate/anon_max_rate）以避免资源被滥用。