乐趣区

关于服务器:天翼云云主机上搭建FTP服务最佳实践

天翼云用户在云主机上架设 FTP 服务器后,在 VPC 平安组里配置凋谢了 21 端口却发现依然从外网连贯不上 FTP 服务。

这是因为 FTP 协定有它的非凡之处,本文将介绍在天翼云云主机上配置 FTP 服务器的难点。
FTP 协定的数据连贯分为被动模式和被动模式两种形式,FTP 默认应用被动模式。
在被动模式下客户端随机开启一个大于 1024 的端口 N,这里咱们假设是 12345 端口吧,向服务器的 21 端口发动连贯,而后客户端将凋谢 N + 1 号端口进行监听,在咱们这个例子里则是 12346 端口了。服务器将应用数据端口 20 来被动连贯客户端的 12346 端口进行数据传输。

如果客户端处在一个局域网内通过防火墙或路由器连贯到公网,那服务器很可能将连贯不上客户端的 12346 端口,除非客户的网管给客户端做了 1 对 1 的公网地址映射。因而被动模式有很大的局限性,大部分场景下都不实用。

既然被动模式连贯不上,那就改为应用被动模式吧。被动模式下,FTP 客户端随机开启一个大于 1024 的端口 N,咱们依然假设是 12345 端口吧,向服务器的 21 端口发动连贯,而后客户端会开启 N + 1 号端口,在咱们这个例子里则是 12346 端口,并且通知服务器我俩应用被动模式来进行通信。服务器收到命令后,会凋谢一个大于 1024 的随机端口进行监听,咱们假设也是 12345 吧,而后服务器再通知客户端,你来连贯我的 12345 端口吧,我是云主机我有公网 IP,你能够连得上。这样客户端的 12346 端口去连贯服务器的 12345 端口进行数据通讯,就这样欢快地开始进行数据传输。
可是请留神,天翼云上有平安组在爱护着咱们的云主机,哪能轻易让客户端去连 12345 端口。好吧,那就去配置平安组,容许拜访 12345 端口吧。可是请留神,默认状况下服务器端凋谢的数据连贯端口是个随机端口,每一次 FTP 连贯都是一个随机端口。这次是 12345 端口,下一次可能就是 54321 端口了。

那怎么办呢?
 这时候你可能想到,在平安组上配置把 1024-65535 这段端口全副放开嘛。很好,我很拜服你的思这种计划并不是不能够,而是太不平安了,相当于云主机齐全裸露在公网上。这如同在向通知黑客,来呀来呀,来攻打我呀。

其实随机端口的问题最佳的解决办法是把被动模式的随机端口改为应用一个固定的端口范畴,再把这个固定端口范畴配置到平安组的容许端口列表里就行了。

至于端口范畴应用哪个端口范畴,就取于用户本人的业务需要了。大于 1024 的端口都能够应用,前提是不与其它业务抵触。端口的范畴大于取决于 FTP 的并发数,如果有 100 个并发用户,那端口的范畴大小至多要 100 个端口了。

本文就以被动模式端口范畴设为 30010-30020 为例介绍 Windows 和 Linux 操作系统下 FTP 服务器的设置。
    以 Windows IIS FTP 服务器中,找到【FTP 防火墙反对】,配置数据通道端口范畴为 30010-30020。
    Linux 下罕用的 VSFTPD 则是配置 vsftpd.conf,退出以下配置,并且重启 VSFTPD 使配置失效。
    pasv_enable=yes
    pasv_min_port=30010
    pasv_max_port=30020
当然云平台平安组的配置中,还须要凋谢 TCP 21 及 TCP 30010-30020 的拜访。

最初,如果 Windows 云主机上配置了 Windows 防火墙或者 Linux 上配置了 iptables 防火墙,还须要在云主机防火墙上凋谢 TCP 21 端口及 TCP 30010-30020 端口。
终于 FTP 客户端又能从服务端欢快地上传下载数据了。

退出移动版