说明：本站的技术类文章，均为内部学习交流使用，并不能代表产品厂家，或者是第三方的观点，非专业技术类人员，请勿对服务器设备进行操作，以免造成设备不可使用或数据丢失。同时凯铧互联小编建议用户定期对云服务器数据进行备份保存！

---

北京凯铧互联科技有限公司（简称凯铧互联）由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。阿里云优惠购买专线：158-0160-3153（微信同步）

发布：凯铧互联小编

问题场景：
访问阿里云服务器Linux实例中vsftpd主被动模式下iptables的设置

在这里小编一起回复下

凯铧互联小编回复：

问题解决方案如下:

本文主要介绍Linux实例中vsftpd主被动模式下iptables的设置。

FTP连接包括以下两种。
一个控制连接：这个连接用于传递客户端的命令和服务器端对命令的响应，比如登录使用的用户名与密码、变更目录命令CWD、PUT 、GET文件。它使用TCP 21端口。
多个数据连接：这些连接用于传输文件和其它数据，比如目录列表命令LIST。使用端口依据FTP服务端工作模式决定。

vsftpd主动与被动模式的区别在于PORT命令的发出方，或者说数据连接的主动发起方。
主动模式下，由客户端通过PORT告知服务端自己的监听端口，然后服务端通过自己定义的主动模式下的端口(默认为20)发起到客户端宣告的端口的连接。
被动模式下，服务端在接到客户端的PASV命令后，通过PORT发送端口号给客户端，客户端连接这个端口进行数据传输。

主动模式下iptables设置

这个模式下，因为是客户端需要连接服务端的21端口，同时服务端的20端口主动外联客户端的端口，所以要确保INPUT方向的21允许访问，同时OUTPUT方向的20允许通过（通常OUTPUT默认ACCEPT，所以这个不用设置。如果为DROP，则需要添加外出方向的20访问规则），以及创建的RELATED与ESTABLISHED规则。具体如下。
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

被动模式下iptables设置

针对vsftpd的设置可以使用不同策略。
vsftpd未指定被动模式的端口范围
在/etc/sysconfig/iptables-config中添加IPTABLES_MODULES="ip_conntrack_ftp"，加载ip_conntrack_ftp模块以过滤传输与FTP控制连接相关的数据连接中经过的数据。
修改设置后执行如下命令，使新的模块加载。同时iptables需要允许访问21端口。
service iptables restart
iptables配置如下。
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
vsftpd指定被动模式的端口范围
也可以使用“vsftpd未指定被动模式的端口范围”中的方案，或者可以在iptables的INPUT链中放行对指定范围端口的访问。
比如在/etc/vsftpd/vsftpd.conf中设置如下内容。
pasv_enable=YES
pasv_min_port=6666
pasv_max_port=8888
在iptables中开放这段端口。
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 6666:8888 -j ACCEPT或 iptables -A INPUT -p tcp -m multiport 6666:8888 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

适用于

阿里云服务器 ECS

免责声明： 本文档可能包含第三方产品信息，该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响，不做任何暗示或其他形式的承诺。

凯铧互联科技不单单可以优惠购买，还有免费技术服务提供，这样又靠谱又有技术服务的代理商不多了，推荐选择凯铧互联。关于阿里云代理商几折这个具体问题要问具体代理，代理公司不同可能价格也不同。通过阿里云代理商凯铧互联购买和在阿里云购买一样的功能,价格也是非常的便宜,比如在阿里云直接管理,享受阿里云原价合同票据,阿里云和授权服务中心的7x24小时技术服务。

如果您按本文操作没有解决您的问题，请及时联系我方客服，凯铧互联的混合云服务拥有全球云计算的支持以及强大的设备支持，可以帮助企业及商家增强对成本的控制力，帮助企业及商家对公司的数据大资源进行更加有条理的管理，混合云服务可以综合私有云以及公有云，使得两者可以同时为企业及商家服务，增加管理的效率，从而增大企业的发展空间，为企业及商家的发展助力。 并且凯铧互联建立了各种技术交流微信群，大家可以一起交流！

为什么选择我们：北京凯铧互联科技有限公司（简称凯铧互联）由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云,腾讯云百度云,金山云.华为云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。 点此了解凯铧互联更多优势。

国内目前现在有非常多的云服务器品牌商，产品性能、线路已经倾向于同质化了，使用起来区别较大的应该是售后服务、配置以及价格了。
而云服务的价格取决于多方面的因素,没有固定的标准。这与您选择的云服务器的配置、线路和售后服务等方面有关。而且现在市面上云服务器基本同质化了，建议具备以下优势的：
高性价比，同样的价格能买到更高的配置更好不过了，配置越高能支撑的突发访问越大；
一定要选售后服务好的，出问题时有售后技术及时响应处理，能大大降低业务的持续性；
建议选择支持不满意退款的商家，这样遇到不满意的情况也不会有损失。