Estou usando o proftpd no meu servidor (ubuntu 16.04 x86_64).
O proftpd padrão usa a porta 21 padrão. Posso conectar do meu notebook doméstico ao FTP com modo ativo sem problemas.
Agora paro o proftpd, mudo a porta de 21 para 10021 e inicio o serviço novamente. E agora não consigo conectar com modo ativo, apenas com modo passivo.
O que mudou?
Também não consigo entender por que funciona o modo ativo? Tenho acesso à internet por roteador. Não encaminho nenhuma porta para meu notebook no roteador. Como agora, ao conectar, meu notebook (cliente FTP) cria conexão de alguma porta> 1023 para a porta 21 do servidor. Meu notebook envia para o servidor também a segunda porta (dados) para o servidor e o servidor se conecta da própria porta 20 para mim com esses dados porta. Mas como a segunda conexão pode ser estabelecida, se minhas portas estiverem fechadas por wan?
Responder1
Seu firewall (roteador) possui um auxiliar de rastreamento de conexão para FTP. Quando vê uma conexão de controle FTP (que reconhece pela porta de destino TCP == 21), ele observa os comandos. Quando vê seu cliente enviar o PORTcomando, ele o reescreve (para seu endereço IP externo e talvez para uma porta diferente) e monitora a conexão esperada do servidor FTP. Quando essa conexão chega, ela é permitida.
Quando você alterou a porta, nada disso aconteceu, pois 10021 não é reconhecida como uma conexão de controle FTP.
No Linux, pelo menos, esse recurso é o nf_conntrack_ftpmódulo, e você pode definir a portsopção para incluir 10021, se desejar.
PS: Algo semelhante pode ser feito com um firewall na frente do servidor, porém ao contrário: é feito em transferências no modo passivo, em vez do modo ativo.