Linux vsftp被动模式：如何配置网络环境

Linux vsftpd 被动模式网络环境配置

一 场景与原理

• 被动模式由服务器在收到数据请求后打开一个高位端口并告知客户端，客户端主动连接到该端口完成数据传输。为穿越防火墙/NAT，需将被动端口限制为固定范围，并在防火墙放行该范围及控制端口。若服务器位于NAT之后，还需告知客户端外网地址，否则数据通道会回连失败。客户端在被动模式下收到类似响应：227 Entering Passive Mode (a,b,c,d,p1,p2)，其中数据端口为 p1×256 + p2。因此，网络配置的关键是：限定被动端口范围、放行端口、在NAT/云环境中正确通告外网地址。

二 服务端 vsftpd 配置

• 建议配置示例（按需调整端口范围与路径）：
  • 核心被动参数
    • pasv_enable=YES
    • pasv_min_port=50000
    • pasv_max_port=50010
    • pasv_address=203.0.113.10（服务器公网IP，NAT/云环境必填）
  • 访问与安全
    • anonymous_enable=NO
    • local_enable=YES
    • write_enable=YES
    • chroot_local_user=YES
    • allow_writeable_chroot=YES
    • listen=YES（如使用IPv6，请保持与IPv4一致或按需调整）
• 操作要点
  • 配置文件路径通常为：/etc/vsftpd.conf
  • 修改后重启服务：systemctl restart vsftpd
  • 云服务器或物理机有公网IP时，务必设置 pasv_address 为服务器对外的公网地址，避免数据通道回连内网地址失败。

三 防火墙与云安全组放行

• 原则：放行控制通道端口 21/TCP，以及被动端口范围（如 50000–50010/TCP）。
• firewalld（CentOS 7+/RHEL 7+）
  • firewall-cmd --permanent --add-port=21/tcp
  • firewall-cmd --permanent --add-port=50000-50010/tcp
  • firewall-cmd --reload
• UFW（Debian/Ubuntu）
  • ufw allow 21/tcp
  • ufw allow 50000:50010/tcp
• 云厂商安全组
  • 入方向放行 21/TCP 与 50000–50010/TCP（协议：TCP，端口范围：如上）
• 传统 iptables（如仍在使用）
  • 在 INPUT/OUTPUT 链放行 21 与被动端口范围（示例见各类教程），保存并生效规则。

四 NAT 与云环境的额外配置

• 场景A：服务器在NAT之后（家庭/办公网关、部分云主机）
  • 在 vsftpd.conf 设置 pasv_address=公网IP（见第二节），确保客户端收到的 227 响应中的地址可被外网访问。
• 场景B：端口映射（非标准21端口）
  • 若需将公网端口（如 2121/TCP）映射到内网 21/TCP，在网关/主机上配置 DNAT，例如：
    • iptables -t nat -A PREROUTING -p tcp --dport 2121 -j DNAT --to-destination 192.168.1.100:21
    • 同时放行安全组/防火墙的 2121/TCP 与被动端口范围。
• 场景C：纯内网或无防火墙
  • 被动端口范围可不固定，但为便于排障与审计，仍建议固定范围并放行。

五 客户端与连通性测试

• 客户端设置
  • 图形客户端（如 FileZilla）选择“被动模式”（Passive）。
  • 命令行示例（lftp）：lftp -u 用户名,密码 服务器地址；必要时执行：set ftp:passive on
  • Java 程序需显式启用被动：ftp.enterLocalPassiveMode();
• 快速验证
  • 登录后执行 ls/get/put，若成功列出/传输，说明数据通道已打通。
  • 观察服务器日志（如 /var/log/vsftpd.log）与抓包，确认 227 响应中的端口落在已放行范围，且数据连接来自客户端到服务器的被动端口。