1.vsftp登录报错：227 Entering Passive Mod

服务器上装了vsftp，由于做了iptables限制，文件不能传到ftp服务器上，查看路由都是好的，就登录看下。

2.原因和解决办法

原因是FTP主动模式造成的。客户端连接ftp的时候默认是被动模式，要把ftp服务器模式改为被动。

#将vsftpd的模式修改为被动模式，添加下面三行到配置文件，重启vsftp服务

pasv_enable=YES

pasv_min_port=30000

pasv_max_port=30999

防火墙允许客户端210.21.18.205访问

/sbin/iptables -A INPUT -p tcp -s 210.21.18.205 --dport 5021 -i eth3 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -s 210.21.18.205 --dport 30000:30999 -i eth3 -j ACCEPT

3.原理：FTP的传输模式

FTP协议的数据传输存在两种模式：主动模式和被动模式。

这两种模式发起连接的方向截然相反，主动模式是从服务器端向客户端发起；被动模式是客户端向服务器端发起连接。

但是如果服务器和客户之间存在防火墙，主动模式经常会引起一些麻烦。设想，客户位于防火墙之后，防火墙允许所有内部向外部的连接通过，但是对于外部向内部发起的连接却存在很多限制。在这种情况下，客户可以正常地和服务器建立控制连接，而如果使用主动模式，ls、put和get等数据传输命令就很难成功运行，因为防火墙会阻塞从服务器向客户发起的数据传输连接。简单包过滤防火墙把控制连接和数据传输连接完全分离开了，因此很难通过配置防火墙允许主动模式的FTP数据传输连接通过。如果防火墙允许ICMP或者TCP RST报文通过，客户程序就会马上返回connection refused错误信息；而如果防火墙只是做简单的丢弃处理，会造成客户程序挂起一段时间。