一、验证端口监听状态

首先确认FTP服务是否正常监听端口。执行以下命令检查21端口状态：

• Linux系统：netstat -tuln | grep :21 或 ss -tuln | grep :21
• Windows系统：通过资源监视器查看TCP监听端口状态

若端口未监听，需重启FTP服务并检查配置文件中的端口绑定设置。

二、服务器防火墙排查

系统级防火墙需开放以下端口：

1. 控制端口：21（默认）
2. 被动模式端口范围：50000-50100（根据实际配置调整）

配置示例：

• Linux防火墙：firewall-cmd --permanent --add-port=21/tcp 并指定端口范围
• Windows防火墙：创建入站规则允许svchost.exe进程通信

三、云安全组配置检查

主流云平台安全组需配置双重规则：

• 入方向开放21端口（TCP协议）
• 被动模式数据端口范围（如50000-50100）需单独添加规则

注意华为云/阿里云需在控制台「安全组」-「入站规则」中完成配置。

四、FTP服务配置验证

检查关键配置参数：

1. 被动模式外网IP地址声明（pasv_address）
2. 端口范围限制（pasv_min_port/pasv_max_port）
3. 传输模式（主动/被动）与客户端匹配

五、网络连通性测试

使用以下工具进行分层诊断：

• telnet [IP] 21测试端口可达性
• traceroute分析网络路径
• 云服务器内网访问验证，排除公网IP问题

FTP外网访问故障需采用分层排查策略：从端口监听→系统防火墙→云安全组→服务配置逐步验证。特别需注意被动模式端口范围在服务器防火墙和云安全组中的同步配置，建议在调试阶段开启详细日志记录功能加速问题定位。