FTP服务被动模式防火墙穿透：解决防火墙NAT转换导致被动连接失败的端口映射方案

一、背景介绍

咱在使用 FTP 服务的时候，经常会遇到一些网络上的麻烦事。就好比防火墙和 NAT 转换，它们就像路上的关卡，会让 FTP 服务的被动连接失败。这是因为防火墙为了保证网络安全，会对进出的网络流量进行限制，而 NAT 转换会改变 IP 地址和端口，这就可能导致 FTP 被动模式下的数据连接无法正常建立。

举个例子，有一家小公司，他们用 FTP 服务来传输文件。公司的网络有防火墙保护，同时使用了 NAT 转换。当员工尝试用 FTP 客户端以被动模式连接到服务器下载文件时，却怎么都连不上。这就是防火墙和 NAT 转换带来的问题。

二、FTP 服务被动模式原理

2.1 主动模式和被动模式的区别

FTP 有主动模式和被动模式两种。主动模式下，服务器主动向客户端发起数据连接；而被动模式下，是客户端主动向服务器发起数据连接。

打个比方，主动模式就像是老师主动找学生问问题，而被动模式就像是学生主动找老师问问题。在网络环境复杂的情况下，被动模式更常用，因为它能更好地适应防火墙和 NAT 转换。

2.2 被动模式的工作流程

当客户端以被动模式连接到 FTP 服务器时，客户端会先和服务器建立控制连接，然后发送 PASV 命令。服务器收到命令后，会随机打开一个端口，并将这个端口号告诉客户端。客户端再用这个端口号和服务器建立数据连接。

比如，客户端连接到服务器的 21 号端口建立控制连接，发送 PASV 命令后，服务器返回“227 Entering Passive Mode (192,168,1,100,192,168)”，这里的 192 和 168 组成的端口号就是服务器随机打开的端口，客户端就会用这个端口和服务器建立数据连接。

三、防火墙和 NAT 转换对 FTP 被动模式的影响

3.1 防火墙的限制

防火墙会根据预设的规则来允许或阻止网络流量。一般情况下，防火墙会阻止一些未知的端口流量，而 FTP 被动模式下服务器随机打开的端口就可能被防火墙阻止。

就像小区的保安，只让有通行证的人进出。如果 FTP 被动模式的数据连接没有得到防火墙的“通行证”，就会被拒之门外。

3.2 NAT 转换的问题

NAT 转换会改变 IP 地址和端口，这会让客户端收到的服务器端口号和实际的端口号不一致。

比如，服务器在内部网络的 IP 是 192.168.1.100，经过 NAT 转换后，对外的 IP 变成了 202.100.1.1。客户端收到的服务器端口号是基于内部 IP 的，当客户端用这个端口号去连接时，就会连接失败。

四、端口映射方案解决被动连接失败问题

4.1 端口映射的原理

端口映射就是在防火墙或路由器上设置规则，将外部的端口映射到内部服务器的特定端口。这样，客户端就可以通过外部端口访问内部服务器。

打个比方，就像给小区的保安说，有客人来找 101 房间的人，让客人从 2 号门进来，然后保安会把客人带到 101 房间。这里的 2 号门就是外部端口，101 房间就是内部服务器的端口。

4.2 具体实现步骤（以 Linux 系统为例，使用 iptables）

以下是使用 iptables 进行端口映射的示例代码：

# 技术栈：Shell
# 开启 IP 转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# 清除原有的规则
iptables -F
iptables -t nat -F

# 设置端口映射，将外部的 20000 - 20100 端口映射到内部服务器的 20000 - 20100 端口
iptables -t nat -A PREROUTING -p tcp --dport 20000:20100 -j DNAT --to-destination 192.168.1.100:20000-20100

# 允许内部服务器访问外部网络
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

# 保存规则
iptables-save > /etc/iptables.rules

这段代码的注释解释如下：

• echo 1 > /proc/sys/net/ipv4/ip_forward：开启 IP 转发功能，让数据包可以在不同网络之间传输。
• iptables -F 和 iptables -t nat -F：清除原有的 iptables 规则。
• iptables -t nat -A PREROUTING -p tcp --dport 20000:20100 -j DNAT --to-destination 192.168.1.100:20000-20100：将外部的 20000 - 20100 端口映射到内部服务器 192.168.1.100 的 20000 - 20100 端口。
• iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE：允许内部网络（192.168.1.0/24）的设备访问外部网络。
• iptables-save > /etc/iptables.rules：保存 iptables 规则，以便下次重启后仍然生效。

4.3 配置 FTP 服务器

在 FTP 服务器上，需要配置被动模式的端口范围，使其和端口映射的范围一致。以 vsftpd 为例，编辑 /etc/vsftpd.conf 文件，添加以下内容：

# 设置被动模式的端口范围
pasv_min_port=20000
pasv_max_port=20100

保存文件后，重启 vsftpd 服务：

systemctl restart vsftpd

五、应用场景

5.1 企业内部文件共享

企业内部可能有很多部门需要共享文件，使用 FTP 服务可以方便地实现文件的上传和下载。但企业网络通常有防火墙和 NAT 转换，通过端口映射方案可以解决 FTP 被动连接失败的问题，让员工可以顺利地共享文件。

5.2 网站文件传输

网站开发者需要将网站文件上传到服务器，FTP 是常用的文件传输方式。在服务器所在的网络有防火墙和 NAT 转换的情况下，端口映射方案可以确保开发者能够正常地进行文件传输。

六、技术优缺点

6.1 优点

• 简单有效：端口映射方案不需要对 FTP 客户端和服务器进行复杂的配置，只需要在防火墙或路由器上设置规则即可，容易实现。
• 兼容性好：可以适用于各种 FTP 服务器和客户端，不受特定软件的限制。

6.2 缺点

• 端口占用：需要占用一定的端口资源，如果端口范围设置不合理，可能会影响其他服务的正常运行。
• 安全性问题：开放过多的端口会增加网络安全风险，需要加强防火墙的安全策略。

七、注意事项

7.1 端口范围设置

在设置端口映射的范围时，要确保这个范围没有被其他服务占用。可以通过 netstat -tuln 命令查看当前系统中已经使用的端口。

7.2 防火墙安全策略

在开放端口后，要加强防火墙的安全策略，只允许特定的 IP 地址或网段访问这些端口，防止外部的恶意攻击。

7.3 服务器配置

要确保 FTP 服务器的被动模式端口范围和端口映射的范围一致，否则仍然会出现连接失败的问题。

八、文章总结

通过本文的介绍，我们了解了 FTP 服务被动模式的原理，以及防火墙和 NAT 转换对其产生的影响。为了解决被动连接失败的问题，我们可以采用端口映射方案。这种方案简单有效，适用于多种应用场景，但也存在一些缺点，需要我们在使用时注意端口范围设置、防火墙安全策略和服务器配置等问题。希望本文能帮助大家更好地解决 FTP 服务被动模式下的连接问题。