天翼云用户在云主机上架设FTP服务器后,在VPC 平安组里配置凋谢了21端口却发现依然从外网连贯不上FTP服务。
这是因为FTP协定有它的非凡之处,本文将介绍在天翼云云主机上配置FTP服务器的难点。
FTP协定的数据连贯分为被动模式和被动模式两种形式,FTP默认应用被动模式。
在被动模式下客户端随机开启一个大于1024的端口N,这里咱们假设是12345端口吧,向服务器的21端口发动连贯,而后客户端将凋谢N+1号端口进行监听,在咱们这个例子里则是12346端口了。服务器将应用数据端口20来被动连贯客户端的12346端口进行数据传输。
如果客户端处在一个局域网内通过防火墙或路由器连贯到公网,那服务器很可能将连贯不上客户端的12346端口,除非客户的网管给客户端做了1对1的公网地址映射。因而被动模式有很大的局限性,大部分场景下都不实用。
既然被动模式连贯不上,那就改为应用被动模式吧。被动模式下,FTP客户端随机开启一个大于1024的端口N,咱们依然假设是12345端口吧,向服务器的21端口发动连贯,而后客户端会开启N+1号端口,在咱们这个例子里则是12346端口,并且通知服务器我俩应用被动模式来进行通信。服务器收到命令后,会凋谢一个大于1024的随机端口进行监听,咱们假设也是12345吧,而后服务器再通知客户端,你来连贯我的12345端口吧,我是云主机我有公网IP,你能够连得上。这样客户端的12346端口去连贯服务器的12345端口进行数据通讯,就这样欢快地开始进行数据传输。
可是请留神,天翼云上有平安组在爱护着咱们的云主机,哪能轻易让客户端去连12345端口。好吧,那就去配置平安组,容许拜访12345端口吧。可是请留神,默认状况下服务器端凋谢的数据连贯端口是个随机端口,每一次FTP连贯都是一个随机端口。这次是12345端口,下一次可能就是54321端口了。
那怎么办呢?
这时候你可能想到,在平安组上配置把1024-65535这段端口全副放开嘛。很好,我很拜服你的思这种计划并不是不能够,而是太不平安了,相当于云主机齐全裸露在公网上。这如同在向通知黑客,来呀来呀,来攻打我呀。
其实随机端口的问题最佳的解决办法是把被动模式的随机端口改为应用一个固定的端口范畴,再把这个固定端口范畴配置到平安组的容许端口列表里就行了。
至于端口范畴应用哪个端口范畴,就取于用户本人的业务需要了。大于1024的端口都能够应用,前提是不与其它业务抵触。端口的范畴大于取决于FTP的并发数,如果有100个并发用户,那端口的范畴大小至多要100个端口了。
本文就以被动模式端口范畴设为30010-30020为例介绍Windows和Linux操作系统下FTP服务器的设置。
以Windows IIS FTP服务器中,找到【FTP防火墙反对】,配置数据通道端口范畴为30010-30020。
Linux下罕用的VSFTPD则是配置vsftpd.conf,退出以下配置,并且重启VSFTPD使配置失效。
pasv_enable=yes
pasv_min_port=30010
pasv_max_port=30020
当然云平台平安组的配置中,还须要凋谢TCP 21及TCP 30010-30020的拜访。
最初,如果Windows云主机上配置了Windows防火墙或者Linux上配置了iptables防火墙,还须要在云主机防火墙上凋谢TCP 21端口及TCP 30010-30020端口。
终于FTP客户端又能从服务端欢快地上传下载数据了。