外网访问内网的FTP服务器

转自 外网访问内网的FTP服务器

首先感谢作者给出的总结，原文是介绍Serv-U的，我针对FileZilla Server进行了稍微修改，仅看操作可直接跳到分割线后第3部分。

1. 背景简介
最近研究如何在内网搭架FTP服务器，同时要保证外网（公网）能访问的到。终成正果，但走了一些弯路，在此记下，以飨后人。

2. 基础知识
FTP 使用 2 个端口，一个数据端口和一个命令端口（也叫做控制端口）。这两个端口一般是21 （命令端口）和 20 （数据端口），当然你也可以自定义。控制 Socket 用来传送命令，数据 Socket 是用于传送数据。每一个 FTP 命令发送之后，FTP 服务器都会返回一个字符串，其中包括一个响应代码和一些说明信息。其中的返回码主要是用于判断命令是否被成功执行了。

2.1. 命令端口
一般来说，客户端有一个 Socket用来连接 FTP 服务器的相关端口，它负责 FTP 命令的发送和接收返回的响应信息。一些操作如“登录”、“改变目录”、“删除文件”，依靠这个连接发送命令就可完成。

2.2. 数据端口
对于有数据传输的操作，主要是显示目录列表，上传、下载文件，我们需要依靠另一个 Socket来完成。

如果使用被动模式，通常服务器端会返回一个端口号。客户端需要用另开一个 Socket 来连接这个端口，然后我们可根据操作来发送命令，数据会通过新开的一个端口传输。

如果使用主动模式，通常客户端会发送一个端口号给服务器端，并在这个端口监听。服务器需要连接到客户端开启的这个数据端口，并进行数据的传输。

下面对 FTP 的主动模式和被动模式做一个简单的介绍。

2.3. 主动模式(PORT)
主动模式下，客户端随机打开一个大于1024 的端口向服务器的命令端口 P，即 21 端口，发起连接，同时开放N +1 端口监听，并向服务器发出 “port N+1” 命令，由服务器从它自己的数据端口 (20) 主动连接到客户端指定的数据端口 (N+1)。

FTP 的客户端只是告诉服务器自己的端口号，让服务器来连接客户端指定的端口。对于客户端的防火墙来说，这是从外部到内部的连接，可能会被阻塞。

2.4. 被动模式(PASV)
为了解决服务器发起到客户的连接问题，有了另一种 FTP 连接方式，即被动方式。命令连接和数据连接都由客户端发起，这样就解决了从服务器到客户端的数据端口的连接被防火墙过滤的问题。

被动模式下，当开启一个 FTP 连接时，客户端打开两个任意的本地端口 (N > 1024 和 N+1) 。

第一个端口连接服务器的 21 端口，提交 PASV 命令。然后，服务器会开启一个任意的端口 (P > 1024 )，返回如“227 entering passive mode (127,0,0,1,4,18)”。 它返回了 227 开头的信息，在括号中有以逗号隔开的六个数字，前四个指服务器的地址，最后两个，将倒数第二个乘256 再加上最后一个数字，这就是 FTP 服务器开放的用来进行数据传输的端口。如得到 227 entering passive mode(h1,h2,h3,h4,p1,p2)，那么端口号是 p1*256+p2，ip 地址为h1.h2.h3.h4。这意味着在服务器上有一个端口被开放。客户端收到命令取得端口号之后, 会通过 N+1 号端口连接服务器的端口 P，然后在两个端口之间进行数据传输。

---

3. 我走过的弯路
使用FileZilla Server搭架FTP服务器很简单，网上教程也很多，不再累述。我这里只记录下我遇到的问题。

3.1. 使用环境

	操作系统	FTP软件	FTP软件版本
FTP服务器	Windows 10	FileZilla Server	0.9.60
FTP客户端	IOS 12.1	nPlayer

FTP服务器安装在实验室内网的电脑上，FTP客户端在外网的电脑上（严格来说也是在另一外局域网内）。

3.2. PASV端口范围
被动模式（PASV）下，有数据要传输时，服务器会打开一个数据端口（并处于监听状态），然后告知客户端，客户端连接这个数据端口发送数据。但是数据端口是随机的，那么服务器该如何将这些随机数据端口映射到公网的路由器上呢？？？总不能让内部网的一台机器完全暴露到公网上吧，虽然确实有这样的方案（称之为DMZ主机），但这绝对是最愚蠢的选择。

这就是我遇到的第一个弯路，折腾了很久才知道。虽然数据端口是随机的，但FileZilla Server可以指定随机的范围。打开FileZilla Server Interface > Edit > Settings > Passive Mode Settings 。

勾选 use custom port range 并设置PASV范围，如下图所示，在这里就可以指定随见的范围了。你只要把这些端口映射到路由器就可以了。

图表 1 PASV 端口范围

3.3. PASV IP地址
我遇到的第二个难缠的问题是，FTP 客户端获取不到FTP服务器的目录列表。日志信息如下：

(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> Connected on port 21, sending welcome message...
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> 220-FileZilla Server 0.9.60 beta
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> 220-written by Tim Kosse (tim.kosse@filezilla-project.org)
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> 220-Please visit https://filezilla-project.org/
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> 220 From PeanutK
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> AUTH SSL
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> 502 Explicit TLS authentication not allowed
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> AUTH TLS
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> 502 Explicit TLS authentication not allowed
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> USER 947995721@qq.com
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> 331 Password required for 947995721@qq.com
(000001)2018/12/29 22:03:04 - (not logged in) (10.11.35.115)> PASS ****************
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> 230 Logged on
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> PWD
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> 257 "/" is current directory.
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> OPTS UTF8 ON
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> 202 UTF8 mode is always enabled. No need to send this command.
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> PASV
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> 227 Entering Passive Mode (192.168.137.1,234,98)
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> TYPE A
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> 200 Type set to A
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> LIST
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> 150 Opening data channel for directory listing of "/"
(000001)2018/12/29 22:03:04 - 947995721@qq.com (10.11.35.115)> 425 Can't open data connection for transfer of "/"

也是经过一阵折腾，最后突然发现服务器对PASV指令的响应是：227Entering Passive Mode (192.168.137.1,50,203)，这里127,0,0,1是FTP服务器在内网IP，客户端自然连接不上。打开Serv-U管理控制台 > 你自定义的域名 > 域详细信息 > 监听器 > 编辑 ，在PASV IP地址或域名中设置公网IP即可。 如下图所示。

4. 总结
FTP服务器至少需要两个端口：命令端口和数据端口。命令端口是固定的，而数据端口是随机的。随机的端口如何映射到公网？FZ可以设置PASV端口范围，随机也只是在设定的范围内随机。另外需要设置PASV IP地址，否者服务器响应客户端的PASV 命令时，会把服务器在内网中的IP地址告知客户端，这个地址对应客户端来说是连接不上的。