iptables防火墙与vsftpd的被动传输模式

Linux服务器上开启了防火墙，并配置vsftpd，就出现了一些问题

 

可以连接，列出目录，但是无法下载/上传，经过检查，是受FTP传输模式影响导致。

 

iptables的配置策略往往就限制入站的目的端口，ftp服务器使用标准的21端口作为控制端口，但是数据的传输端口取决于传输模式

 

主动模式：
  服务器以源端口20或随机端口向客户端的协商的随机端口发起链接，也就是说，这时两边防火墙的策略应该是：
 服务器端应该允许目标端口为20的入站连接，允许所有随机端口的出站连接

 

当然，服务器是否以20为源端口连接，取决于/etc/vsftpd.conf是否设置

connect_from_port_20=YES

 

客户端应该允许所有源端口为20的入站连接，允许所有随机端口的出站连接

 

被动模式：
  客户端以随机连接服务器的某个随机端口（通过21端口协商得到）

 

如此， 如果客户端使用了NAT或是有防火墙，问题就变得复杂多了。

 

在主动模式下，服务器连接客户端（即客户端NAT主机的公网IP）随机端口，肯定会失败的，所以客户端使用NAT时，不能使用主动模式，同理，如果客户端使用防火墙，只允许指定的入站端口连接，那么也会失败。

 

如果使用被动模式呢？也有问题，因为客户端是连接服务器的随机端口(服务器只允许指定入站端口连接)，也会出问题，那么对于vsftpd, 解决办法就是：

 

1.vsftpd 使用被动模式，并设定被动模式监听的端口范围

2.服务器防火墙允许到此范围端口的入站连接

 

 

对vsftpd的配置：
pasv_enable=YES //使用被动模式，等待客户端连接
pasv_min_port=50000 //被动模式时监听的端口范围下限
pasv_max_port=50100//被动模式时监听的端口范围上限

 

对iptables的配置

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 50000:50100 -j ACCEPT

 

当然，客户端需要设置为被动方式连接