Centos6.2 Vsftp 打不开FTP的数据连接端口！

nekou09

环境：Centos6.2 +Apache2 +Vsftp +PHP +MYSQL+IPTABLES

win下用flashfxp连接FTP提示：

1. FlashFXP 4.1.8 (build 1689)
   
2. 
   
3. Winsock 2.2 -- OpenSSL 1.0.0e 6 Sep 2011
   
4. [右] 正在连接到 test -> IP=192.168.1.104 PORT=21
   
5. [右] 已连接到 test
   
6. [右] 220 (vsFTPd 2.2.2)
   
7. [右] USER test
   
8. [右] 331 Please specify the password.
   
9. [右] PASS (hidden)
   
10. [右] 230 Login successful.
    
11. [右] SYST
    
12. [右] 215 UNIX Type: L8
    
13. [右] FEAT
    
14. [右] 211-Features:
    
15. [右]  EPRT
    
16. [右]  EPSV
    
17. [右]  MDTM
    
18. [右]  PASV
    
19. [右]  REST STREAM
    
20. [右]  SIZE
    
21. [右]  TVFS
    
22. [右]  UTF8
    
23. [右] 211 End
    
24. [右] PWD
    
25. [右] 257 "/"
    
26. [右] TYPE A
    
27. [右] 200 Switching to ASCII mode.
    
28. [右] PASV
    
29. [右] 227 Entering Passive Mode (192,168,1,104,168,5).
    
30. [右] 正在打开数据连接 IP: 192.168.1.104 端口: 43013
    
31. [右] 数据 Socket 错误: 连接已超时
    
32. [右] 列表 错误
    
33. [右] PASV
    
34. [右] 227 Entering Passive Mode (192,168,1,104,230,11).
    
35. [右] 正在打开数据连接 IP: 192.168.1.104 端口: 58891
    
36. [右] 数据 Socket 错误: 连接已超时
    
37. [右] 列表 错误
    
38. [右] 以 PASV 模式连接失败，正在尝试使用 PORT  模式。
    
39. [右] 侦听于端口: 56267，正在等候连接。
    
40. [右] PORT 192,168,1,189,219,203
    
41. [右] 200 PORT command successful. Consider using PASV.
    
42. [右] LIST -al
    
43. [右] 150 Here comes the directory listing.
    
44. [右] 226 Directory send OK.
    
45. [右] 列表完成: 3 KB 于 0.03 秒 (3.8 KB/秒)
    
46. [右] 正在计算服务器的时差...
    
47. [右] MDTM .htaccess
    
48. [右] 213 20120111005834
    
49. [右] 时差: 服务器: 0 秒。本地: 28800 秒。相差: 28800 秒。
    
50. [右] 以 PORT  模式连接成功，请更衠68xpD

复制代码

关了IPTABLES一下就能连上，IPTABLES配置文件内容如下：

1. # Firewall configuration written by system-config-firewall
   
2. # Manual customization of this file is not recommended.
   
3. *filter
   
4. :INPUT ACCEPT [0:0]
   
5. :FORWARD ACCEPT [0:0]
   
6. :OUTPUT ACCEPT [0:0]
   
7. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
8. -A INPUT -p icmp -j ACCEPT
   
9. -A INPUT -i lo -j ACCEPT
   
10. -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    
11. -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
    
12. -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
    
13. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
14. -A OUTPUT  -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
    
15. -A INPUT -j REJECT --reject-with icmp-host-prohibited
    
16. -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    
17. COMMIT
    

复制代码

chenyx

你配置下vsftp,设置

1. pasv_promiscuous=YES
   
2. pasv_min_port=49152
   
3. pasv_max_port=65534
   

复制代码

然后在iptables里面开放上面的端口范围

nekou09

回复 2# chenyx


多谢~

请问iptables里面应该怎么写？我现在加了一行好像不起作用，增加规则如下：

1. -A INPUT -i eth0 -p udp --sport 21 --dport 49152:65534 -j ACCEPT

复制代码

chenyx

不是那么写的,你原来21端口的那个规则不变,新添加一条

1. iptables -A INPUT -i eth0 -p tcp --dports 49152:65534 -j ACCEPT

复制代码

加到你的21端口规则下面

nekou09

回复 4# chenyx


   搞定了！非常感谢！

kuhanzhu

局域网用被动模式你是怎么搞定的？

snow888

只要在防火墙上打开 21 端口就 OK 了。

kuhanzhu

看楼主的是21端口连接的。所以你得主动模式进行访问。防火墙开放21端口即可。4楼的不适用。

kuhanzhu 发表于 2012-01-16 09:12
看楼主的是21端口连接的。所以你得主动模式进行访问。防火墙开放21端口即可。4楼的不适用。

chenyx

2,4楼应该结合起来看,启动被动模式.

kuhanzhu 发表于 2012-01-16 09:12
看楼主的是21端口连接的。所以你得主动模式进行访问。防火墙开放21端口即可。4楼的不适用。

snow888

俺不是说了么，直接在防火墙里面开放 21 号端口就OK了撒。