Debian FTP Server的端口配置方法

Debian FTP Server端口配置方法

一 前置说明与默认端口

• 常见 FTP 服务软件：vsftpd、Pure-FTPd。
• 默认控制连接端口：21/TCP；主动模式数据端口：20/TCP；被动模式需配置一段数据端口范围（建议显式设置）。
• 若启用加密：显式 FTPS 常用端口为990/TCP；FTP over TLS 的隐式端口通常为990/TCP（取决于配置）。

二 修改 vsftpd 的端口

• 安装与备份配置（如未安装）：
  sudo apt update && sudo apt install vsftpd
  sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.bak
• 修改控制端口：编辑 /etc/vsftpd.conf，设置
  listen_port=2121（示例将控制端口改为 2121）。如仅修改端口，保持 IPv4/IPv6 监听配置与系统环境一致（常见为 listen=YES 且未启用仅 IPv6）。
• 配置被动模式端口范围（强烈建议显式设置）：
  pasv_enable=YES
  pasv_min_port=35000
  pasv_max_port=40000
• 启用并重启服务：
  sudo systemctl enable --now vsftpd
  sudo systemctl restart vsftpd
• 防火墙放行（UFW 示例）：
  sudo ufw allow 2121/tcp
  sudo ufw allow 35000:40000/tcp
  如使用 FTPS，还需放行：sudo ufw allow 990/tcp。完成后可用 sudo ufw status 查看规则。

三 修改 Pure-FTPd 的端口

• 安装（如未安装）：sudo apt update && sudo apt install pure-ftpd
• 修改控制端口：编辑 /etc/pure-ftpd/pure-ftpd.conf，设置
  Port 2121（示例改为 2121）。
• 防火墙放行（UFW 示例）：sudo ufw allow 2121/tcp；如使用被动模式，同样需要开放自定义的被动端口区间（在 Pure-FTPd 配置中设置 PassivePortRange 后放行对应区间）。
• 重启服务：sudo systemctl restart pure-ftpd。

四 防火墙与被动模式要点

• 主动模式：客户端发起控制连接到服务器 21/TCP，服务器用 20/TCP 主动连接客户端数据端口；通常需要放行服务器的 20:21/TCP。
• 被动模式：客户端与服务器协商数据端口，服务器在配置的被动端口范围内等待连接；务必在防火墙放行该范围，并在 FTP 服务端配置一致的范围（如 35000–40000 或 49152–65535）。
• 加密端口：显式 FTPS 使用 990/TCP；若使用 FTP over TLS 的隐式模式，通常也使用 990/TCP。
• 验证监听端口：ss -tulpen | grep -E ‘(:21|:2121|:990)’; 或 netstat -tulpn | grep vsftpd/pure-ftpd。

五 快速排错清单

• 配置修改后未生效：确认已重启服务（systemctl restart）。
• 客户端连不上：核对服务器防火墙与云安全组已放行对应端口（控制端口与被动端口范围）。
• 被动模式失败：服务端被动端口范围与防火墙放行范围不一致，或客户端未启用被动模式。
• 端口被占用：例如将控制端口改为 22 会与 SSH 冲突，需更换为未被占用的端口并同步防火墙放行。