Como configurar o vsftpd para trabalhar com o modo passivo

Para configurar o modo passivo para o vsftpd você precisa definir alguns parâmetros no vsftpd.conf.

pasv_enable=Yes
pasv_max_port=10100
pasv_min_port=10090

Isso habilita o modo passivo e o restringe ao uso das onze portas para conexões de dados. Isso é útil porque você precisa abrir essas portas em seu firewall.

iptables -I INPUT -p tcp --destination-port 10090:10100 -j ACCEPT

Se depois de testar tudo isso funcionar, salve o estado do seu firewall com

service iptables save

que irá atualizar o /etc/sysconfig/iptablesarquivo.

Para fazer isso no CentOS 7 você tem que usar o novo firewalld, não o iptables:

Encontre sua zona:

# firewall-cmd --get-active-zones
public
  interfaces: eth0

Minha zona é 'pública', então defino minha zona como pública, adiciono o intervalo de portas e depois recarregamos:

# firewall-cmd --permanent --zone=public --add-port=10090-10100/tcp
# firewall-cmd --reload

O que acontece quando você faz uma conexão

• Seu cliente faz uma conexão com o servidor vsftpd na porta 21.

• O servidor responde ao cliente informando a qual porta se conectar a partir do intervalo especificado acima.

• O cliente faz uma conexão de dados na porta especificada e a sessão continua.

Há uma ótima explicação dos diferentes modos de ftp aqui.

Para habilitar o modo passivo, defina as seguintes opções de configuração em seu vsftp.conf:

pasv_enable=YES
pasv_min_port=41361
pasv_max_port=65534
pasv_address=xxx.xxx.xxx.xxx

É claro que você pode alterar a porta inicial e final e deve substituir os xxx pelo IP público do seu servidor.

Além disso, você deve abrir o intervalo de portas do modo passivo em seu firewall. No centos, você pode carregar o ip_conntrack_ftpmódulo para lidar com conexões ftp em seu firewall. Edite /etc/sysconfig/iptables-confige adicione ip_conntrack_ftp à opção IPTABLES_MODULES. Depois reinicie o iptables:

/sbin/service iptables restart

Ao lado do pasv_enable=YES, especifique um intervalo de portas no qual o VSFTP executará o modo PASV:

pasv_min_port=50000
pasv_max_port=50999
port_enable=YES

Não esqueça de configurar o iptables permite a transmissão de pacotes nestas portas:

iptables -I INPUT -p tcp --dport 50000:50999 -j ACCEPT

Normalmente, não é o servidor ftp, vsftpd, mas o firewall como o iptable que impede que o modo passivo seja usado (bloqueando a conexão tcp necessária para transferência de dados).

Eu tive que fazer as seguintes etapas para que o modo passivo vsftp funcionasse no CentOS 8:

Habilite o modo passivo na configuração do vsftpd /etc/vsftpd/vsftpd.config:

pasv_enable=Yes
pasv_min_port=50000
pasv_max_port=50999

Habilite o serviço ftp no firewalld:

firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --reload

Como mencionado em outro post você tem que carregar o módulo do kernel "nf_conntrack_ftp" (que já era o caso no CentOS 8) e habilitar "nf_conntrack_helper" nas configurações do kernel :

echo 1 > /proc/sys/net/netfilter/nf_conntrack_helper

Adicione esta linha a /etc/sysctl.conf(ou /etc/sysctl.d/10-nf_conntrack_helper.confquando /etc/sysctl.d/estiver presente) para uma configuração persistente de reinicialização:

net.netfilter.nf_conntrack_helper=1

Com a trilha de conexão habilitada não há necessidade de configurar adicionalmente as portas passivas no firewall local.