天翼云云主机上搭建 FTP 服务最佳实践

天翼云用户在云主机上架设 FTP 服务器后，在 VPC 安全组里配置开放了 21 端口却发现仍然从外网连接不上 FTP 服务。

        这是由于 FTP 协议有它的特殊之处，本文将介绍在天翼云云主机上配置 FTP 服务器的难点。

        FTP 协议的数据连接分为主动模式和被动模式两种方式，FTP 默认使用主动模式。

        在主动模式下客户端随机开启一个大于 1024 的端口 N，这里我们假定是 12345 端口吧，向服务器的 21 端口发起连接，然后客户端将开放 N+1 号端口进行监听，在我们这个例子里则是 12346 端口了。服务器将使用数据端口 20 来主动连接客户端的 12346 端口进行数据传输。

        如果客户端处在一个局域网内通过防火墙或路由器连接到公网，那服务器很可能将连接不上客户端的 12346 端口，除非客户的网管给客户端做了 1 对 1 的公网地址映射。因此主动模式有很大的局限性，大部分场景下都不适用。

        既然主动模式连接不上，那就改为使用被动模式吧。被动模式下，FTP 客户端随机开启一个大于 1024 的端口 N，我们仍然假定是 12345 端口吧，向服务器的 21 端口发起连接，然后客户端会开启 N+1 号端口，在我们这个例子里则是 12346 端口，并且告诉服务器我俩使用被动模式来进行通讯。服务器收到命令后，会开放一个大于 1024 的随机端口进行监听，我们假定也是 12345 吧，然后服务器再告诉客户端，你来连接我的 12345 端口吧，我是云主机我有公网 IP，你可以连得上。这样客户端的 12346 端口去连接服务器的 12345 端口进行数据通讯，就这样愉快地开始进行数据传输。

        可是请注意，天翼云上有安全组在保护着我们的云主机，哪能随便让客户端去连 12345 端口。好吧，那就去配置安全组，允许访问 12345 端口吧。可是请注意，默认情况下服务器端开放的数据连接端口是个随机端口，每一次 FTP 连接都是一个随机端口。这次是 12345 端口，下一次可能就是 54321 端口了。

        那怎么办呢？

        这时候你可能想到，在安全组上配置把 1024-65535 这段端口全部放开嘛。很好，我很佩服你的思路。

        这种方案并不是不可以，而是太不安全了，相当于云主机完全暴露在公网上。这好像在向告诉黑客，来呀来呀，来攻击我呀。

        其实随机端口的问题最佳的解决方法是把被动模式的随机端口改为使用一个固定的端口范围，再把这个固定端口范围配置到安全组的允许端口列表里就行了。

        至于端口范围使用哪个端口范围，就取于用户自己的业务需求了。大于 1024 的端口都可以使用，前提是不与其它业务冲突。端口的范围大于取决于 FTP 的并发数，如果有 100 个并发用户，那端口的范围大小至少要 100 个端口了。

    本文就以被动模式端口范围设为 30010-30020 为例介绍 Windows 和 Linux 操作系统下 FTP 服务器的设置。

    以 Windows IIS FTP 服务器中，找到【FTP 防火墙支持】，配置数据通道端口范围为 30010-30020。

    Linux 下常用的 VSFTPD 则是配置 vsftpd.conf，加入以下配置，并且重启 VSFTPD 使配置生效。

    pasv_enable=yes

    pasv_min_port=30010

    pasv_max_port=30020

        当然云平台安全组的配置中，还需要开放 TCP 21 及 TCP 30010-30020 的访问。

        最后，如果 Windows 云主机上配置了 Windows 防火墙或者 Linux 上配置了 iptables 防火墙，还需要在云主机防火墙上开放 TCP 21 端口及 TCP 30010-30020 端口。

        终于 FTP 客户端又能从服务端愉快地上传下载数据了。