FTP設(shè)置錯(cuò)誤引起的網(wǎng)盤故障

■ 唐山市教育局電化教育館 方永亮

編者按： 筆者在為客戶重新部署在線教學(xué)平臺(tái)后，打開該網(wǎng)盤工具時(shí)，總報(bào)讀文件錯(cuò)誤“Read File error!”，于是筆者進(jìn)行了故障排查。

筆者為某單位部署的在線教學(xué)平臺(tái)提供了一款網(wǎng)盤工具。近期，為滿足大容量用戶訪問(wèn)需求，筆者重新部署了該在線教學(xué)平臺(tái)。

此次部署首先將原單機(jī)部署更改為群集部署，并將數(shù)據(jù)庫(kù)服務(wù)器、負(fù)載均衡服務(wù)器、靜態(tài)文件服務(wù)器、緩存服務(wù)器、文件下載服務(wù)器、視頻點(diǎn)播服務(wù)器、視頻轉(zhuǎn)換服務(wù)器、Web服務(wù)器等支撐平臺(tái)運(yùn)行的服務(wù)器部署在不同的服務(wù)器上，其中靜態(tài)文件服務(wù)器、緩存服務(wù)器、文件下載服務(wù)器、視頻點(diǎn)播服務(wù)器、視頻轉(zhuǎn)換服務(wù)器、WEB服務(wù)器等均部署了多臺(tái)服務(wù)器，分別做了負(fù)載均衡，整個(gè)在線教學(xué)平臺(tái)部署架構(gòu)圖如圖1所示。

圖1 在線教學(xué)平臺(tái)部署架構(gòu)圖

目前該在線教學(xué)平臺(tái)能滿足1萬(wàn)多人同時(shí)訪問(wèn)，基本滿足了客戶需求。平臺(tái)自帶的網(wǎng)盤工具支持拖拽上傳，可以上傳整個(gè)文件夾、上傳下載均支持?jǐn)帱c(diǎn)續(xù)傳，老師們已習(xí)慣使用平臺(tái)自帶的網(wǎng)盤工具上傳或下載數(shù)字化教學(xué)資源，重新部署平臺(tái)后，只要打開該網(wǎng)盤工具，總報(bào)讀文件錯(cuò)誤“Read File error!”。這對(duì)習(xí)慣使用網(wǎng)盤工具上傳教學(xué)資源的老師們而言，很不方便。筆者為解決此問(wèn)題，費(fèi)勁了周折，終于排除了此故障，下面和大家分享故障排除過(guò)程。

圖2 FTP客戶端上傳/下載文件

故障排查過(guò)程

打開平臺(tái)自帶的網(wǎng)盤工具后，可以看到窗口下方顯示的是“版本號(hào)1.2（FTP）”，估計(jì)此網(wǎng)盤工具是一個(gè)FTP客戶端工具，訪問(wèn)的是FTP服務(wù)器。

于是筆者用一款經(jīng)典的FTP工具LeadFTP直接連接FTP服務(wù)器，經(jīng)過(guò)測(cè)試，LeadFTP不僅能連接到筆者部署的FTP服務(wù)器，也能正常上傳和下載文件，說(shuō)明FTP服務(wù)器工作正常。

考慮到是在外網(wǎng)（公網(wǎng)）發(fā)現(xiàn)的網(wǎng)盤錯(cuò)誤，如果在內(nèi)網(wǎng)（校園網(wǎng)）沒(méi)有錯(cuò)誤，說(shuō)明是IP地址和端口映射問(wèn)題，于是筆者在內(nèi)網(wǎng)運(yùn)行網(wǎng)盤工具，報(bào)同樣的錯(cuò)誤。

從圖1所示在線教學(xué)平臺(tái)部署架構(gòu)圖不難看出，無(wú)論是在外網(wǎng)還是在內(nèi)網(wǎng)，只要使用網(wǎng)盤工具訪問(wèn)平臺(tái)的網(wǎng)盤，都需要經(jīng)過(guò)防火墻。筆者為了提升在線教學(xué)平臺(tái)的安全性能，限制內(nèi)外網(wǎng)直接訪問(wèn)平臺(tái)服務(wù)器，部署了該防火墻。筆者不僅在防火墻上做了端口限制，還做了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。難道是防火墻阻擋了網(wǎng)盤工具訪問(wèn)FTP服務(wù)器？

于是筆者直接在FTP服務(wù)器上運(yùn)行網(wǎng)盤工具，發(fā)現(xiàn)網(wǎng)盤工具可以正常運(yùn)行，可以用它上傳或下載文件。于是筆者又在其他服務(wù)器上運(yùn)行網(wǎng)盤工具，經(jīng)過(guò)測(cè)試，網(wǎng)盤工具均能正常運(yùn)行，說(shuō)明網(wǎng)盤故障是由防火墻引起的。

筆者又用Telnet命令檢測(cè)FTP服務(wù)器端口號(hào)是打開還是關(guān)閉狀態(tài)。經(jīng)過(guò)測(cè)試，F(xiàn)TP服務(wù)器只有監(jiān)控端口16021處于打開狀態(tài)，數(shù)據(jù)端口16020是關(guān)閉狀態(tài)。

數(shù)據(jù)端口是關(guān)閉狀態(tài)，F(xiàn)TP服務(wù)器又能正常工作，是不是在做網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)，沒(méi)有將FTP服務(wù)器的端口都映射出去，筆者檢查了防火墻上的端口映射，發(fā)現(xiàn)FTP服務(wù)器端口16022-16422都做了端口映射，也就是說(shuō)，F(xiàn)TP服務(wù)器的數(shù)據(jù)端口、監(jiān)控端口和被動(dòng)模式端口都做了映射，應(yīng)該不是端口映射的問(wèn)題。

經(jīng)過(guò)上述操作，基本排除網(wǎng)盤工具程序問(wèn)題、FTP服務(wù)器問(wèn)題和端口映射問(wèn)題。難道是端口映射不成功？用FTP工具LeadFTP上傳一個(gè)較大文件，在上傳過(guò)程用端口掃描工具掃描端口，發(fā)現(xiàn)只有監(jiān)控端口16021處于打開狀態(tài)，數(shù)據(jù)端口16020和筆者設(shè)置的被動(dòng)端口16022-16422都處于關(guān)閉狀態(tài)。

同樣，直接在FTP服務(wù)器上掃描端FTP服務(wù)器的端口，也只有監(jiān)控端口16021處于打開狀態(tài)，數(shù)據(jù)端口16020和筆者設(shè)置的被動(dòng)端口16022-16422都處于關(guān)閉狀態(tài)。

由此可見(jiàn)，給FTP服務(wù)器做的端口映射也沒(méi)有問(wèn)題，為了研究FTP服務(wù)器的數(shù)據(jù)端口和被動(dòng)模式端口為什么處于關(guān)閉狀態(tài)，筆者決定重新抓包分析FTP的工作原理。

FTP的主動(dòng)模式和被動(dòng)模式

FTP文件傳輸一般有主動(dòng)模式（Port Mode）和被動(dòng)模式（Passive Mode）兩種：

1.主動(dòng)模式FTP連接雙方端口分析

在主動(dòng)模式下，F(xiàn)TP客戶端上傳/下載文件的過(guò)程如圖2所示。

（1）FTP客戶端通過(guò)臨時(shí)端口發(fā)送一個(gè)TCP SYN(TCP同步)包給FTP服務(wù)端的監(jiān)控端口21(默認(rèn)情況下，F(xiàn)TP監(jiān)控端口是21，后面步驟就用21代替監(jiān)控端口）。

（2）FTP服務(wù)端通過(guò)監(jiān)控端口21發(fā)送SYN ACK（同步應(yīng)答）包給FTP客戶端的臨時(shí)端口。

（3）FTP客戶端通過(guò)臨時(shí)端口發(fā)送一個(gè)ACK（應(yīng)答）包給FTP服務(wù)端的監(jiān)控端口21。此時(shí)雙方的連接建立起來(lái)，F(xiàn)TP客戶端使用這個(gè)連接來(lái)發(fā)送命令，F(xiàn)TP服務(wù)端也使用這個(gè)連接來(lái)發(fā)送FTP應(yīng)答。

圖3 自定義端口范圍

（4）當(dāng)FTP客戶端需要獲取FTP服務(wù)器上的目錄列表、上傳文件或下載文件時(shí)，會(huì)發(fā)出相應(yīng)請(qǐng)求，F(xiàn)TP客戶端使用的端口時(shí)臨時(shí)端口，數(shù)據(jù)包里包含客戶端的IP地址，它希望FTP客戶端打開數(shù)據(jù)連接時(shí)使用該端口。

（5）FTP服務(wù)端通過(guò)數(shù)據(jù)端口20發(fā)送一個(gè)SYN（同步）包給FTP客戶端的臨時(shí)端口（FTP服務(wù)器的默認(rèn)數(shù)據(jù)端口為 20）。

（6）FTP客戶端通過(guò)臨時(shí)端口發(fā)送SYN ACK（同步應(yīng)答）包給FTP服務(wù)端的數(shù)據(jù)端口20。

（7）FTP服務(wù)端通過(guò)20端口向FTP客戶端臨時(shí)端口發(fā)送一個(gè)ACK（應(yīng)答）包。此時(shí)二者之間的數(shù)據(jù)連接就建立起來(lái)了。

（8）發(fā)送數(shù)據(jù)的主機(jī)以這個(gè)連接來(lái)發(fā)送數(shù)據(jù)，實(shí)現(xiàn)文件上傳和下載。

通過(guò)上述分析不難得出以下結(jié)論，如果FTP客戶端通過(guò)主動(dòng)模式連接FTP服務(wù)端，需要先提供地址和端口，由FTP服務(wù)器去連接FTP客戶端的這個(gè)端口，這對(duì)于互聯(lián)網(wǎng)應(yīng)用而言，讓FTP服務(wù)器連接客戶端是部現(xiàn)實(shí)的，畢竟多數(shù)FTP客戶端都是通過(guò)NAT連接互聯(lián)網(wǎng)的。

2.被動(dòng)模式FTP連接雙方端口分析

如果FTP客戶端以被動(dòng)方式發(fā)起連接請(qǐng)求，F(xiàn)TP客戶端會(huì)打開兩個(gè)本地端口N和 N+1，其中 N是由 FTP客戶端產(chǎn)生的，N一般大于等于1024。第一個(gè)端口N連接FTP服務(wù)器的21端口。和主動(dòng)方式不同的是，F(xiàn)TP客戶端不會(huì)提交PORT命令并允許服務(wù)器來(lái)回連它的數(shù)據(jù)端口，而是提交PASV命令,此時(shí)FTP服務(wù)器會(huì)開啟一個(gè)任意的非特權(quán)端口P（端口號(hào)一般也大于1024），并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來(lái)傳送數(shù)據(jù)。

通過(guò)上述分析不難看出，在被動(dòng)模式下，是FTP客戶端連接FTP服務(wù)器提供的端口21和非特權(quán)端口P，不用FTP服務(wù)器連接FTP客戶端，也就是說(shuō)，如果在互聯(lián)網(wǎng)環(huán)境，F(xiàn)TP客戶端適合以被動(dòng)模式連接FTP服務(wù)器。

問(wèn)題解決

根據(jù)圖1所示平臺(tái)部署架構(gòu)圖，無(wú)論校內(nèi)訪問(wèn)平臺(tái)，還是校外訪問(wèn)平臺(tái)，都要經(jīng)過(guò)防火墻。而且筆者為了平臺(tái)安全，將平臺(tái)單獨(dú)部署在一個(gè)網(wǎng)段內(nèi)，平臺(tái)所有服務(wù)器構(gòu)成一個(gè)私網(wǎng)，校內(nèi)或校外不能直接訪問(wèn)這些服務(wù)器，需通過(guò)防火墻才能訪問(wèn)。通過(guò)上述對(duì)FTP工作模式及FTP連接雙方端口的分析，平臺(tái)網(wǎng)盤工具只能工作在被動(dòng)模式。

在被動(dòng)模式下，F(xiàn)TP客戶端需提交PASV命令,FTP服務(wù)器才會(huì)開啟一個(gè)任意的非特權(quán)端口P（端口號(hào)一般也大于1024）。一般的端口掃描工具，包括終端命令telnet在內(nèi)，都不會(huì)發(fā)起PASV命令，F(xiàn)TP服務(wù)端也就不會(huì)開啟被動(dòng)端口，這就是前面掃描FTP服務(wù)期被動(dòng)端口時(shí)，F(xiàn)TP服務(wù)器被動(dòng)端口處于關(guān)閉狀態(tài)的原因。同理，用LeadFTP等FTP工具能連接FTP服務(wù)器，能上傳或下載數(shù)據(jù)，但用端口掃描工具掃描FTP服務(wù)器端口時(shí)，不會(huì)發(fā)起PORT命令，F(xiàn)TP服務(wù)器不會(huì)建立數(shù)據(jù)連接，數(shù)據(jù)端口自然也處于關(guān)閉狀態(tài)。

老師們?cè)谑褂闷脚_(tái)自帶的網(wǎng)盤工具時(shí)，報(bào)讀文件錯(cuò)誤“Read File error!”,估計(jì)是FTP客戶端訪問(wèn)不了FTP服務(wù)端的被動(dòng)端口。如果正確設(shè)置FTP服務(wù)器，這個(gè)問(wèn)題應(yīng)該能正確解決。按照上述思路，筆者調(diào)整了FTP服務(wù)器的被動(dòng)模式設(shè)置，排除了網(wǎng)盤故障。為了保護(hù)客戶單位平臺(tái)隱私，下面以FTP服務(wù)器FileZilla Server為例，介紹調(diào)整了FTP服務(wù)器的被動(dòng)模式設(shè)置的過(guò)程。

其實(shí)，只要進(jìn)入FTP服務(wù)器FileZilla Server被動(dòng)模式設(shè)置頁(yè)面，就可以看到FileZilla后給出的提示信息：“如果你在NAT路由或防火墻后操控服務(wù)器，請(qǐng)使用自定義被動(dòng)設(shè)置.這種情況下，在路由外部不可訪問(wèn)服務(wù)器IP，所以你應(yīng)該在此填入正確的地址. 使用端口范圍來(lái)限定需要穿過(guò)路由提交的端口號(hào).”。

根據(jù)圖1所示平臺(tái)框架，F(xiàn)TP服務(wù)器在“NAT路由或防火墻后操控服務(wù)器”定義范圍內(nèi)，所以需要自定義端口范圍，在本例中，定義了如圖3所示端口“16022-16422”,共定義了401個(gè)被動(dòng)模式端口。在“用于被動(dòng)模式傳輸?shù)耐獠糠?wù)器IP地址”欄選擇“使用以下IP”，在地址欄輸入正確的IP地址，取消選擇“對(duì)本地連接不使用外部IP”，完成被動(dòng)模式設(shè)置。

說(shuō)明：為保護(hù)客戶隱私，本文（含圖片）涉及到的FTP服務(wù)器名稱、IP地址、端口均為虛擬信息。