大多数的TCP服务是使用单个端口的连接，一般是用户向服务器的一个某个端口发起连接，然后使用这个连接进行通讯。但FTP协议却是例外，它使用双向的多个连接

，而且使用的端口很难预计。

FTP连接包括：一个控制连接 (control

connection)

这个连接用于传递客户端的命令和服务器端对命令的响应。它使用周知的TCP21端口，生存期是整个FTP会话时间。

N个数据连接 (data

connection)这些连接用于传输文件和其它数据，例如：目录列表等。这种连接在需要数据传输时建立，而一旦数据传输完毕就关闭，每次使用的端口也不一定相同。而且，这种数据

连接既可能是客户端发起的，也可能是服务器端发起的。

FTP协议使用一个标准的端口20作为ftp-data端口，但是这个端口只用于连接的源地址是服务器端的情况，在这个端口上根本就没有监听进程。

主动与被动模式

FTP的数据连接和控制连接的方向一般是相反的，即服务器向客户端发起一个用于数据传输的连接。连接的端口是由服务器端和客户端协商确定的，这就是vsftpd的主动模式(port

mod)。FTP协议的这个特征对iptables防火墙和NAT的配置增加了很多困难。在FTP被动模式 (passive

mod)下，数据连接是由客户程序发起的，和主动模式相反。

选择模式的原则

1、client 没有防火墙时，用主动模式连接即可

2、server 没有防火墙时，用被动模式即可

3、双方都有防火墙时，vsftpd 设置被动模式高端口范围，server 打开那段范围，client

用被动模式连接即可

是否采取被动模式取决于客户程序，在ftp命令行中使用passive命令就可以关闭/打开被动模式。

在xp命令行模式下使用ftp命令连接ftp服务器，用的是主动模式。浏览器方式下连接ftp服务器，可以修改访问使用的模式。

iptables中配置vsftp

问题：配置iptables后，能够登录到vsftpd服务器，但ls列目录失败(超时)。

分析：

主动模式下：客户连接

TCP/21，服务器通过 TCP/20 连接客户的随机端口

―这种情况下，通过状态防火墙可以解决

iptables -A INPUT -m state

--state NEW,RELATED,ESTABLISHED -j ACCEPT

或者如下：

iptables -A INPUT -m state --state

ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p

tcp -m multiport --dport 20,21 -m state --state NEW -j ACCEPT

NEW: 该包想要开始一个新的连接(重新连接或连接重定向)

RELATED:该包是属于某个已经建立的连接所建立的新连接。如FTP的数据传输连接和控制连接之间就是RELATED关系。

ESTABLISHED：该包属于某个已经建立的连接。

INVALID:该包不匹配于任何连接，通常这些包被DROP。

被动模式下：客户连接

TCP/21，客户再通过其他端口连接服务器的随机端口，卡住的原因，是因为服务器在被动模式下没有打开临时端口让 client

连过来。

临时打洞的方法：

优点：不影响ftp配置；缺点：

客户会感觉到连接有些延迟。原因参见ip_conntract的实现原理

在/etc/modprobe.conf中添加

alias ip_conntrack ip_conntract_ftp ip_nat_ftp

在/etc/rc.local中添加

/sbin/modprobe ip_conntract

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_nat_ftp

限制被动模式连接端口的方法：

优点：对连接速度没有影响。缺点：

限制了客户端并发连接的数量。

在/etc/vsftpd/vsftpd.conf中添加

pasv_enable=YES

pasv_min_port=2222

pasv_max_port=2225

iptables中开放这段端口

-A INPUT -m state --state

RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j

ACCEPT

-A INPUT -p tcp --dport 2222:2225 -j ACCEPT

如果有硬件防火墙，也同样需要打开这些端口！