一、防火墙基础配置验证
首先确认服务器本机防火墙是否放行FTP服务端口。Linux系统可通过以下命令检查:
- 查看当前规则:
iptables -vnL或firewall-cmd --list-all - 放行21号端口:
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
Windows系统需检查防火墙设置中是否允许FTP服务通过,并确认FTP Publishing Service服务已启用。
二、FTP服务端口状态检测
使用网络工具验证端口监听状态:
- Linux执行:
netstat -ntulp | grep :21 - Windows执行:
netstat -ano | findstr :21
若未显示监听状态,可能是FTP服务未启动(如vsftpd),需通过systemctl status vsftpd检查服务状态并重启。
三、被动模式端口范围设置
被动模式需额外开放数据端口(默认为1024-65535):
- 在vsftpd.conf中配置:
pasv_min_port=50000和pasv_max_port=51000 - 防火墙放行指定范围:
iptables -A INPUT -p tcp --dport 50000:51000 -j ACCEPT
四、云平台安全组规则检查
在阿里云等云平台中,需单独配置安全组规则:
- 登录云控制台,进入实例安全组配置
- 添加入方向规则,协议类型选择FTP(21)和自定义TCP(被动端口范围)
- 源地址设置为
0.0.0.0/0或指定IP段
防火墙问题排查应遵循从本地到云端、从控制端口到数据端口的顺序。建议先通过telnet命令测试端口连通性,再结合服务日志(如/var/log/vsftpd.log)定位具体拦截环节。
