FTP服务器需要开几个端口

最近，公司要使用Ftp做附件上传功能，Ftp服务器需要外网端口映射。之前一位同事说只需要开一个端口，特意到网上搜了一下，没记住连接，只把内容复制了下来。(太对不住原来的作者了)

写道

FTP服务器需要开几个端口
　　由于前段时间公司新买了台服务器，只用来提供FTP和SQL Server服务(有固定公网IP并且对外服务)，于是我就想用防火墙封住除开FTP和SQL Server之外的所有端口(也就是只开放21和1433啦)，以保证服务器的安全，但是想不到的是开了21端口之后，FTP依旧不能访问，让我很纳闷，于是我就花了点时间研究了一下防火墙的日志和在网上找了些相关的资料，有了以下的总结。

　　1、完成一个FTP的传输过程不仅仅只需要21一个端口，而是2个端口，21端口只是一个命令端口，其实另外还有一个数据端口，我想这就是有些朋友在内网架设FTP并且在网关上做了21端口的映射之后外网还是不能访问的原因吧，另外一个数据端口是多少呢?这又牵涉到另外一个问题。

　　2、FTP具有两种模式，分别是port模式(也叫主动模式)和pasv模式(也叫被动模式)，怎么来理解这两种模式呢?我来打个比喻吧，在主动模式下:客户端给服务器端的21端口发命令说，我要下载什么什么，并且还会说我已经打开了自己的某个端口，你就从这里把东西给我吧，服务器知道后就会通过另外一个数据端口把东西传给客户端，这就是主动模式，可以理解为服务端主动给客户端传输文件;在被动模式下:客户端给服务器端的21端口发命令说，我要下载什么什么，服务器端知道后，就打开一个端口，然后告诉客户端，我已经打开了某某端口，你自己进去拿吧，于是客户端就从那个端口进去拿文件了，这就是被动模式，可以理解为服务端被客户端拿走了东西，哈哈，可以看懂吧。

　　在FTP的历史中，本来只有主动模式的，但是为什么又出现了被动模式呢?这又牵涉到另外一个问题了，呵呵～

　　3、在很久以前(我也不知道多久)，地球上还没有什么共享上网这种技术，但是后来出现了，所以也就有了下面的问题，大家都知道，共享上网就是很多台电脑共享一个公网IP去使用internet，再打个比喻吧，某个局域网共享210.33.25.1这个公网IP上网，当一个内网用户 192.168.0.100去访问外网的FTP服务器时，如果采用主动模式的话，192.168.0.1告诉了FTP服务器我需要某个文件和我打开了x端口之后，由于共享上网的原因，192.168.0.1在出网关的时候自己的IP地址已经被翻译成了210.33.25.1这个公网IP，所以服务器端收到的消息也就是210.33.25.1需要某个文件并打开了x端口，FTP服务器就会往210.33.25.1的x端口传数据，这样当然会连接不成功了，因为打开x端口的并不是210.33.25.1这个地址，在这种情况下被动模式就有用了，相信大家已经能够理解被动模式是怎么个连接法了吧。

　　好了，说了这么多，现在可以回到第一个问题了。

　　在主动模式中，FTP的两个端口是相对固定的，如果命令端口是x的话，那数据端口就是x-1，也就是说默认情况下，命令端口是21，数据端口就是20;你把命令端口改成了600，那么数据端口就是599。这样使用防火墙就很方便了，只要开通这两个端口就可以了，但是如果客户端是共享上网的话那岂不是不能正常使用FTP了，这样还是不行，一定需要被动模式。

　　在被动模式中就麻烦了些，默认情况下命令端口是21，但是数据端口是随机的，这个问题又让我头痛了一下，还好，我又找到了办法，因为被动模式中数据端口的范围是可以自定义的，在此我以Serv-U 6.1.0.5版为例，在/Local Server/Settings/Advanced/中，看图:

FTP服务器需要开几个端口 - Suncents - Suncents Blog

　　这下好了，我把被动模式中的端口范围也设置为20-20，那么不管客户端使用何种模式来访问我的FTP，都只需要开通这两个端口了，再加上 SQL Server的1433，一台服务器总共才开了3个端口，这下应该比较安全了。