问题描述

.net 使用 ftp 下载文件，在测试环境正常，部署到生产环境就报错【System.Net.WebException: 远程服务器返回错误: (425) 无法打开数据连接】。

运维组说 ftp 服务器是用 SuSE 搭的vsftp。

问题原因探索

无法打开数据连接，说明客户端和服务器端在建立数据连接的时候失败了。而数据连接的建立方式有两种：主动模式和被动模式。

1、主动模式和被动模式区别

ftp 主动模式和被动模式是两种不同的数据连接模式，用于在 ftp 客户端和服务器之间进行数据传输。它们的主要区别在于数据连接的建立方式。默认就是主动模式.

（1）在 ftp 主动模式（PORT）下，连接过程如下：

• 1、客户端随机开启一个端口N（大于1023）向服务器的21号端口发起连接（包含发送用户名和密码）。
• 2、客户端开放N+1号端口进行监听，并向服务器发出 PORT N+1 命令，告诉服务端客户端采用主动模式并开放了端口。
• 3、服务器在收到 PORT 命令后，会选择本地 ftp 数据端口（通常为20）来连接客户端指定的端口N+1。

因为 ftp 服务器主动连接到了 ftp 客户端，因此称为主动模式。

（2）被动模式（PASV）连接过程如下：

• 1、同主动模式第1步
• 2、客户端开放N+1号端口进行监听，向服务器发送PASV命令，通知服务器自己处于被动模式。
• 3、服务器收到命令后，会开放一个大于1023的端口P进行监听，然后用PORT P命令通知客户端，自己的数据端口是P。
• 4、客户端收到命令后，会通过N+1号端口连接服务器的端口P，然后在两个端口之间进行数据传输。

借用网络上的图：

因为 ftp 客户端主动连接到了 ftp 服务器，因此称为被动模式。

二者区别：

2、先确定是不是被动模式配置问题

ftp 客户端在连接 ftp 服务器时，可以使用主动模式或被动模式。被动模式通常更适用于服务器在防火墙后面的情况。先确保在部署到生产环境时正确配置了被动模式。

确定方法：选择一个能连接生产服务器环境的的服务器，使用客户端【FileZilla】，在传输设置中的传输模式中不管是设置主动还是被动，都能建立连接，说明建立的连接和ftp服务器没有关系，那只有和客户端连接有关。

3、确认客户端 .net 程序正确配置了被动模式的相关参数

查看连接 ftp 的代码：

private static FtpWebRequest ConnectWithConfigId(int configId,String path)
{  
    var ftpInfoWithConfig = GetFtpInfoWithConfigId(configId);

    // 根据uri创建FtpWebRequest对象
    FtpWebRequest reqFTP = (FtpWebRequest)FtpWebRequest.Create(new Uri(ftpInfoWithConfig.FtpAddress + path));
    // 指定数据传输类型
    reqFTP.UseBinary = true;
    //指定数据传输模式
    if (usePassive == "1")
        reqFTP.UsePassive = true;
    else
        reqFTP.UsePassive = false;
    // ftp用户名和密码
    SecureString sPassword = new SecureString();
    foreach (var p in ftpInfoWithConfig.FtpPassword)
    {
        sPassword.AppendChar(p);
    }
    reqFTP.Credentials = new NetworkCredential(ftpInfoWithConfig.FtpUserName, sPassword);
    return reqFTP;
}

ftp 地址和密码都没有问题，那说明是传输模式的问题，模式由参数 UsePassive 设置：

//
// 摘要:
//     获取或设置客户端应用程序的数据传输过程的行为。
//
// 返回结果:
//     如果客户端应用程序的数据传输过程侦听数据端口上的连接，则为 false；如果客户端应在数据端口上启动连接，则为 true。默认值为 true。
//
// 异常:
//   T:System.InvalidOperationException:
//     对于一个已在进行的请求为此属性指定了一个新值。
public bool UsePassive { get; set; }

现在使用的 UsePassive 为 false，说明它使用的是主动模式而不是被动模式。

4、问题确认

通过上面的描述，可以知道由于客户端并没有主动和服务端建立数据端口的连接，而是由服务器来连接客户端指定的端口，那么客户端的防火墙就有可能拦截阻止连接（被防火墙视为不安全或恶意行为），这次的问题应该就属于这个情况。

被动模式相对来说更加灵活，因为客户端主动连接到服务器指定的端口。

在生产环境，客户端应用程序的数据传输过程侦听数据端口上的连接会失败，那应该是让客户端在数据端口上启动连接。

问题解决

将 UsePassive 设为 true，即使用被动模式后与 ftp 建立连接成功，最终上传成功。

设置成了被动模式，ftp 命令连接和数据连接都是由客户端发起，这样就解决了服务端连接客户端时客户端防火墙拦截的问题。