问题现象描述
当通过外网连接云服务器FTP服务时,用户可能在主动模式下正常完成身份验证,但在文件传输阶段出现超时或连接中断。典型表现为客户端显示425 Failed to establish connection
或ECONNREFUSED
错误。
被动模式原理分析
FTP被动模式(PASV)需要两个端口组:
- 控制端口:固定使用21端口建立初始连接
- 数据端口:使用随机端口范围(如50000-50100)传输文件
该模式要求服务器端预先配置可预测的端口范围,并在网络设备中开放对应策略。
端口未开放的四大原因
- 云平台安全组未放行数据端口段
- 操作系统防火墙未开放被动端口范围
- FTP服务未设置pasv_address参数
- 客户端未启用被动模式
完整解决方案
分步解决流程:
- 在云平台安全组开放TCP:21及数据端口段(如50000-50100)
- 配置系统防火墙放行相同端口范围
iptables -A INPUT -p tcp --dport 50000:50100 -j ACCEPT - 修改FTP服务配置文件:
pasv_enable=YES pasv_min_port=50000 pasv_max_port=50100 pasv_address=公网IP地址 - 重启FTP服务并验证配置生效
被动模式端口未开放是云服务器FTP外网访问失败的常见原因,需在云端安全组、系统防火墙和服务配置三个层面同步检查。建议采用固定端口段策略,避免使用动态随机端口,同时注意客户端需启用被动模式支持。
