白群辉如何配置IPv6公网FTP服务并解决被动模式端口映射问题？

一、现象层：PASV响应地址与端口“可见但不可达”

客户端成功建立IPv6控制连接（telnet [2001:db8::100] 21），却在收到227 Entering Passive Mode (2001:db8::1,45,67)后超时——该地址看似全局可路由，实则因光猫未正确委派/路由前缀、或防火墙丢弃高位端口（如45×256+67=11587）而静默失败。此为最表层症状，掩盖了三层协同断裂。

二、协议层：IPv6 PASV语义与RFC 2428的隐性冲突

• RFC 2428要求PASV响应中嵌入IPv6地址（格式：(h1,h2,...,h16,p1,p2)），但多数FTP服务端未校验该地址是否与监听套接字绑定地址一致；
• vsftpd默认pasv_address为空，自动推导出的地址常为链路本地（fe80::）或错误接口地址；
• Pure-FTPd若未显式配置-p参数绑定IPv6监听，将仅监听IPv4，导致PASV IPv6响应无对应socket。

三、网络层：家用光猫的“伪端到端”现实

四、服务层：FTP守护进程IPv6 PASV配置陷阱

以vsftpd为例，关键配置必须成对生效：

# /etc/vsftpd.conf
listen_ipv6=YES
pasv_enable=YES
pasv_addr_resolve=NO
pasv_address=2001:db8:1::100     # 必须是光猫实际委派给服务器的全局地址
pasv_min_port=11000
pasv_max_port=11999
# 注意：pasv_address必须与ip -6 addr show eth0中inet6匹配，且不能是::1

五、安全层：防火墙策略的IPv6特异性

iptables-nft不处理IPv6；必须使用nft并显式声明ip6家族：

nft add rule ip6 filter input tcp dport 21 accept
nft add rule ip6 filter input tcp dport 11000-11999 accept
# 错误示例：nft add rule ip filter input ... → 仅作用于IPv4

六、验证层：端到端连通性诊断流程

七、架构层：规避PASV的替代方案对比

• 主动模式（PORT）：客户端开放高位端口→家庭网络更难穿透，不推荐；
• FTPS + TLS隐式：控制与数据通道均加密，但需客户端支持且仍依赖PASV；
• SFTP over SSH：单端口22承载全部流量，天然规避PASV/NAT问题，运维友好度↑50%；
• WebDAV over HTTPS：利用现有HTTP反向代理（Nginx），IPv6兼容性最佳。

八、生产级加固：固定PASV段的最小化暴露策略

不开放11000–11999全段，而是收缩至32个端口并轮询绑定：

# Pure-FTPd启动命令（systemd service）
ExecStart=/usr/sbin/pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb \
  -E -j -R -P 2001:db8:1::100 -p 11500:11531 \
  -4 -6 --bind 2001:db8:1::100@21 --ipv6 --noipv4

配合nft仅放行11500–11531，降低攻击面。

九、监控层：自动化健康检查脚本

部署cron每5分钟执行：

#!/bin/bash
PASV_IP="2001:db8:1::100"
PORT_RANGE=(11500 11531)
for port in $(seq ${PORT_RANGE[0]} ${PORT_RANGE[1]}); do
  if ! timeout 3 nc -6z "$PASV_IP" "$port" 2>/dev/null; then
    echo "ALERT: PASV port $port unreachable" | logger -t ftp-monitor
  fi
done

十、演进层：面向IPv6原生的下一代文件传输架构

放弃FTP协议栈，采用：

• IPFS Gateway + DNSLink：内容寻址，无需端口暴露；
• MinIO S3 API over IPv6 TLS：标准REST，客户端库成熟，支持断点续传；
• 自研轻量协议（如QUIC-FTP）：基于UDP多路复用，规避TCP PASV状态同步难题。