天翼云云主机上搭建FTP服务最佳实践

天翼云开发者社区
• 阅读 205

天翼云用户在云主机上架设FTP服务器后,在VPC 安全组里配置开放了21端口却发现仍然从外网连接不上FTP服务。

这是由于FTP协议有它的特殊之处,本文将介绍在天翼云云主机上配置FTP服务器的难点。

FTP协议的数据连接分为主动模式和被动模式两种方式,FTP默认使用主动模式。

在主动模式下客户端随机开启一个大于1024的端口N,这里我们假定是12345端口吧,向服务器的21端口发起连接,然后客户端将开放N+1号端口进行监听,在我们这个例子里则是12346端口了。服务器将使用数据端口20来主动连接客户端的12346端口进行数据传输。

如果客户端处在一个局域网内通过防火墙或路由器连接到公网,那服务器很可能将连接不上客户端的12346端口,除非客户的网管给客户端做了1对1的公网地址映射。因此主动模式有很大的局限性,大部分场景下都不适用。

既然主动模式连接不上,那就改为使用被动模式吧。被动模式下,FTP客户端随机开启一个大于1024的端口N,我们仍然假定是12345端口吧,向服务器的21端口发起连接,然后客户端会开启N+1号端口,在我们这个例子里则是12346端口,并且告诉服务器我俩使用被动模式来进行通讯。服务器收到命令后,会开放一个大于1024的随机端口进行监听,我们假定也是12345吧,然后服务器再告诉客户端,你来连接我的12345端口吧,我是云主机我有公网IP,你可以连得上。这样客户端的12346端口去连接服务器的12345端口进行数据通讯,就这样愉快地开始进行数据传输。

可是请注意,天翼云上有安全组在保护着我们的云主机,哪能随便让客户端去连12345端口。好吧,那就去配置安全组,允许访问12345端口吧。可是请注意,默认情况下服务器端开放的数据连接端口是个随机端口,每一次FTP连接都是一个随机端口。这次是12345端口,下一次可能就是54321端口了。

那怎么办呢? 这时候你可能想到,在安全组上配置把1024-65535这段端口全部放开嘛。很好,我很佩服你的思路。 这种方案并不是不可以,而是太不安全了,相当于云主机完全暴露在公网上。这好像在向告诉黑客,来呀来呀,来攻击我呀。 其实随机端口的问题最佳的解决方法是把被动模式的随机端口改为使用一个固定的端口范围,再把这个固定端口范围配置到安全组的允许端口列表里就行了。 至于端口范围使用哪个端口范围,就取于用户自己的业务需求了。大于1024的端口都可以使用,前提是不与其它业务冲突。端口的范围大于取决于FTP的并发数,如果有100个并发用户,那端口的范围大小至少要100个端口了。

本文就以被动模式端口范围设为30010-30020为例介绍Windows和Linux操作系统下FTP服务器的设置。 以Windows IIS FTP服务器中,找到【FTP防火墙支持】,配置数据通道端口范围为30010-30020。 Linux下常用的VSFTPD则是配置vsftpd.conf,加入以下配置,并且重启VSFTPD使配置生效。 pasv_enable=yes pasv_min_port=30010 pasv_max_port=30020 当然云平台安全组的配置中,还需要开放TCP 21及TCP 30010-30020的访问。 天翼云云主机上搭建FTP服务最佳实践 最后,如果Windows云主机上配置了Windows防火墙或者Linux上配置了iptables防火墙,还需要在云主机防火墙上开放TCP 21端口及TCP 30010-30020端口。 终于FTP客户端又能从服务端愉快地上传下载数据了。

点赞
收藏
评论区
推荐文章
Jacquelyn38 Jacquelyn38
1年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
blmius blmius
1年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
Stella981 Stella981
1年前
MAC docker启动参数修改
启动docker,漏加16020端口,怎么修改呢?1\.Dockerps看一下idCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTS
Stella981 Stella981
1年前
KVM调整cpu和内存
一.修改kvm虚拟机的配置1、virsheditcentos7找到“memory”和“vcpu”标签,将<namecentos7</name<uuid2220a6d1a36a4fbb8523e078b3dfe795</uuid
Wesley13 Wesley13
1年前
TCP和UDP ,TCP 为什么三次握手,四次挥手
常用的熟知端口号应用程序FTPTFTPTELNETSMTPDNSHTTPSSHMYSQL熟知端口21,206923255380223306传输层协议TCPUDPTCPTCPUDPTCP  TCP1.
Wesley13 Wesley13
1年前
MySQL查询按照指定规则排序
1.按照指定(单个)字段排序selectfromtable_nameorderiddesc;2.按照指定(多个)字段排序selectfromtable_nameorderiddesc,statusdesc;3.按照指定字段和规则排序selec
Wesley13 Wesley13
1年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
3A网络 3A网络
4个月前
开发一个不需要重写成 Hive QL 的大数据 SQL 引擎
开发一个不需要重写成HiveQL的大数据SQL引擎学习大数据技术的核心原理,掌握一些高效的思考和思维方式,构建自己的技术知识体系。明白了原理,有时甚至不需要学习,顺着原理就可以推导出各种实现细节。各种知识表象看杂乱无章,若只是学习
3A网络 3A网络
4个月前
理解 virt、res、shr 之间的关系(linux 系统篇)
理解virt、res、shr之间的关系(linux系统篇)前言想必在linux上写过程序的同学都有分析进程占用多少内存的经历,或者被问到这样的问题——你的程序在运行时占用了多少内存(物理内存)?通常我们可以通过t
helloworld_34035044 helloworld_34035044
6个月前
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等
230
文章
0
粉丝
1
获赞