aws上的vsftp服务的坎坷经历

原创

vicxiang 2018-12-21 00:06:29 博主文章分类：linux常用运维工具 ©著作权

文章标签 ftp vsftp 文章分类 运维

©著作权归作者所有：来自51CTO博客作者vicxiang的原创作品，请联系作者获取转载授权，否则将追究法律责任

vsftp的安装分为本地用户、虚拟用户两种模式，今天就不在此过多介绍怎么分别启用不同的模式，以后再单独一篇安装的文章。 yum install -y vsftpd 配置文件：/etc/vsftpd/vsftpd.conf 启动：systemctl start vsftpd
vsftp客户端服务启动后，使用客户端连接，常用的方式有windows地址栏中输入ftp://x.x.x.x 或者下载安装FileZilla输入服务端IP，端口默认21测试连接。
主动模式、被动模式介绍从FileZilla中我们可以发现，ftp连接有3种模式：默认、主动、被动。在服务端其实只有两种主动和被动，经过实测，客户端（含windows地址栏连接）默认连接方式是被动模式。下面来说说主动模式跟被动模式的区别吧。我们重温一下FTP的工作过程。客户端连接服务端TCP 21端口建立命令通道后，输入用户名密码完成登录；随后的每一次数据传输都需要另外建立数据通道进行；如果数据通道由客户端发起，服务端接受，我们称之为被动模式；反之，如果数据通道由服务端发起，客户端接受，则称之为主动模式。主动模式：被动模式：
AWS遇到的问题，其实是NAT的问题。铺垫了这么久，以下进入正题。除了ftp有NAT的问题，还有其他一些服务也存在，如VOIP服务。我们在共有云购买的机器现在网卡上都是只有一块内网网卡，然后通过NAT绑定公网IP对外提供公网服务。（PS：老早前公网地址是可以启动在云主机的网卡上的，这样就没有NAT问题），这时主动模式的连接不会受影响，原因请自行领悟。这里只介绍会出现问题的被动模式。以被动模式内网访问时，完美！顺利！以被动模式公网访问时，糟糕！这里连接超时，显而易见，FTP服务端发送给客户端的IP地址是服务端的私有地址。位于Internet上的客户端无法建立与位于VPC内部的私有地址10.0.0.10直接通讯。
解决这个问题有多种方法，我们由简单到复杂分别叙述 ①增强协议适配NAT FTP协议针对NAT和其他因素，对协议进行了增强，提供了增强版的被动模式EPSV命令。服务端不再显式指定IP地址，只提供数据通道的端口号。客户端默认与控制通道相同的IP地址建立数据通道。可以看到，解决方案很优雅。当然这需要客户端和服务端都支持增强的协议才能达成；如果我们不修改协议，能否解决这个问题呢。

②服务端适配有些时候，修改协议和实现需要多方协调和很长的时间才能完成。在RFC2428标准化之前，一些FTP实现就已经通过修改实现来适配基本NAT，而非修改协议。以vsftpd为例，它允许通过配置文件vsftpd.conf中的配置项 pasv_address=x.x.x.x 告知服务端，在PASV被动模式下，应当指示客户端连接到配置项指定的IP（而不是服务端的私有IP）来适配基本NAT。题外话：其他的一些常见应用例如VoIP类应用，也有类似的机制去适配基本NAT；例如引入STUN/TURN/ICE等方式适配各种更加复杂的NAT穿越场景（多年前搞过VOIP）

③啥都不改（此法慎用）适用于精通网络的高手 #从EC2 实例元数据服务获取本实例的公网IP(如有)、私网IP

      public_ipv4=`curl -s http://169.254.169.254/latest/meta-data/public-ipv4`

      local_ipv4=`curl -s http://169.254.169.254/latest/meta-data/local-ipv4`

#配置私网地址段，这里应为EC2实例所在VPC的地址范围

      local_net=10.0.0.0/16

      if [ “x${public_ipv4}” == “x” ]

      then

      echo “No public IPv4 address available for this instance, abort.”

      exit 1

      else

#如果EC2实例的公网IP不为空,则将该公网地址添加到eth0上

      ip address add ${public_ipv4}/32 dev eth0

#本地接受的连接，如果来源不是本VPC，那么将IP包的目的地址改写为公网IP

      iptables -t nat -A PREROUTING ! -s ${local_net} -d ${local_ipv4} -i eth0 -j DNAT --to ${public_ipv4}

#本地发起的连接，如果出方向流量的源IP地址是公网地址，那么需要改写为私网IP

      iptables -t nat -A POSTROUTING -s ${public_ipv4} -o eth0 -j SNAT --to ${local_ipv4}

      fi

验证脚本执行结果：首先检查本实例的公网IP是否已经正确配置到eth0上。

~ # ip addr show dev eth0

然后检查iptables的NAT规则是否正确配置

~ # iptables -t nat -nvL 最后分别从VPC内部和Internet连接到服务，验证结果

~ $ ss -nt

此法不建议生产使用，维护门槛比较高。

最后：附上清测可以使用的vsftpd.conf，注意需要把20、21、pasv_min~pasv_max这些端口在安全组中配置开放访问策略 anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES idle_session_timeout=300 pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES max_clients=65530 max_per_ip=65530 reverse_lookup_enable=NO pasv_address=x.x.x.x pasv_enable=YES pasv_max_port=65535 pasv_min_port=64000