天翼云用户在云主机上架设FTP服务器后,在VPC 安全组里配置开放了21端口却发现仍然从外网连接不上FTP服务。
这是由于FTP协议有它的特殊之处,本文将介绍在天翼云云主机上配置FTP服务器的难点。
FTP协议的数据连接分为主动模式和被动模式两种方式,FTP默认使用主动模式。
在主动模式下客户端随机开启一个大于1024的端口N,这里我们假定是12345端口吧,向服务器的21端口发起连接,然后客户端将开放N+1号端口进行监听,在我们这个例子里则是12346端口了。服务器将使用数据端口20来主动连接客户端的12346端口进行数据传输。
如果客户端处在一个局域网内通过防火墙或路由器连接到公网,那服务器很可能将连接不上客户端的12346端口,除非客户的网管给客户端做了1对1的公网地址映射。因此主动模式有很大的局限性,大部分场景下都不适用。
既然主动模式连接不上,那就改为使用被动模式吧。被动模式下,FTP客户端随机开启一个大于1024的端口N,我们仍然假定是12345端口吧,向服务器的21端口发起连接,然后客户端会开启N+1号端口,在我们这个例子里则是12346端口,并且告诉服务器我俩使用被动模式来进行通讯。服务器收到命令后,会开放一个大于1024的随机端口进行监听,我们假定也是12345吧,然后服务器再告诉客户端,你来连接我的12345端口吧,我是云主机我有公网IP,你可以连得上。这样客户端的12346端口去连接服务器的12345端口进行数据通讯,就这样愉快地开始进行数据传输。
可是请注意,天翼云上有安全组在保护着我们的云主机,哪能随便让客户端去连12345端口。好吧,那就去配置安全组,允许访问12345端口吧。可是请注意,默认情况下服务器端开放的数据连接端口是个随机端口,每一次FTP连接都是一个随机端口。这次是12345端口,下一次可能就是54321端口了。
那怎么办呢?
这时候你可能想到,在安全组上配置把1024-65535这段端口全部放开嘛。很好,我很佩服你的思路。
这种方案并不是不可以,而是太不安全了,相当于云主机完全暴露在公网上。这好像在向告诉黑客,来呀来呀,来攻击我呀。
其实随机端口的问题最佳的解决方法是把被动模式的随机端口改为使用一个固定的端口范围,再把这个固定端口范围配置到安全组的允许端口列表里就行了。
至于端口范围使用哪个端口范围,就取于用户自己的业务需求了。大于1024的端口都可以使用,前提是不与其它业务冲突。端口的范围大于取决于FTP的并发数,如果有100个并发用户,那端口的范围大小至少要100个端口了。
本文就以被动模式端口范围设为30010-30020为例介绍Windows和Linux操作系统下FTP服务器的设置。
以Windows IIS FTP服务器中,找到【FTP防火墙支持】,配置数据通道端口范围为30010-30020。
Linux下常用的VSFTPD则是配置vsftpd.conf,加入以下配置,并且重启VSFTPD使配置生效。
pasv_enable=yes
pasv_min_port=30010
pasv_max_port=30020
当然云平台安全组的配置中,还需要开放TCP 21及TCP 30010-30020的访问。
最后,如果Windows云主机上配置了Windows防火墙或者Linux上配置了iptables防火墙,还需要在云主机防火墙上开放TCP 21端口及TCP 30010-30020端口。
终于FTP客户端又能从服务端愉快地上传下载数据了。