FTPS与SFTP在防火墙穿透和端口配置上有何关键区别？

一、现象层：典型连接失败场景与日志特征

• FTPS被动模式失败：客户端日志显示“Entering Passive Mode (10,1,2,3,194,67)”，但后续数据连接超时；Wireshark抓包可见控制通道（21端口）完成TLS握手，但无后续SYN包发往10.1.2.3:49731（194×256+67=49731）
• SFTP连接成功但传输卡顿：SSH登录正常，sftp user@host可列出目录，但get largefile.zip在85%处停滞——实为TCP窗口缩放被防火墙策略误限（非端口问题，属QoS/流控范畴）
• AWS Security Group配置陷阱：入站规则开放了TCP 21+22，却未对FTPS的被动端口段（如50000-50100）设置安全组引用或IP范围白名单，导致PASV响应IP被NAT后不可达

二、协议层：双通道 vs 单隧道的本质差异

三、防火墙层：状态检测机制对协议适配的硬约束

现代防火墙（iptables/nftables、AWS SG、FortiGate）采用连接跟踪（conntrack）机制，其对协议感知能力决定选型边界：

• iptables + nf_conntrack_ftp模块：可动态学习PASV端口并自动添加临时ACCEPT规则，但要求内核启用且模块加载顺序正确；若使用nftables则需手动编写ct state established,related规则链
• AWS Security Group：无ALG能力，必须显式声明被动端口范围；更严峻的是，当服务器部署在NAT网关后时，PASV响应中返回的是私有IP（如10.0.1.5），客户端无法直连——此时必须配置vsftpd.conf中pasv_address和pasv_addr_resolve=NO

四、诊断层：五步精准定位法

1. 确认服务监听状态：ss -tlnp | grep -E ':(21|22|50000)'
2. 验证防火墙轨迹：iptables -t raw -L PREROUTING -n -v 查看raw表是否拦截
3. 抓包分层分析：在服务端执行tcpdump -i any port 21 or port 22 -w ftps_sftp.pcap，用Wireshark过滤ftp.response.code == 227提取PASV端口
4. ALG有效性测试：关闭ALG后重试FTPS，若PASV响应IP仍为内网地址即证实ALG失效
5. 路径MTU探测：ping -M do -s 1472 example.com 排查因分片丢弃导致的SFTP传输中断

五、决策层：选型矩阵与落地建议

六、配置层：生产环境最小化策略范例

示例1：CentOS 8 iptables最小规则集（FTPS）

# 启用ALG模块
modprobe nf_conntrack_ftp
echo "nf_conntrack_ftp" >> /etc/modules-load.d/ftp.conf

# 规则链
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 被动端口段（必须与vsftpd.conf中pasv_min_port/pasv_max_port一致）
iptables -A INPUT -p tcp --dport 50000:50100 -j ACCEPT

示例2：AWS Security Group（SFTP专用）

• Inbound Rule: TCP 22 → Source: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16（按需细化）
• Outbound Rule: All traffic → Destination: 0.0.0.0/0（SFTP服务端无需出站限制）