클라이언트가 FTP서버에 접속하여 데이터를 주고 받는데에는 엑티브 모드와 패시브 모드 두가지가 있습니다. 이 두가지의 차이는 다음과 같습니다.

엑티브 모드는 클라이언트가 데이터를 수신받을 임의의 포트를 열고 서버에 알려주면 서버는 자신의 20번 포트를 통해 클라이언트의 임의의 포트에 데이터를 전송해 줍니다.

하지만 엑티브 모드에서는 클라이언트가 방화벽(공유기등의 사설 네트워크) 밑에 있다면 외부에서 이 클라이언트에 직접 접근하는것을 불가능합니다. 그래서 패시브 모드에서는 이러한 동작을 반대로 진행합니다. 정리하면 다음과 같습니다.

패시브 모드는 서버가 데이터를 송신해줄 임의의 포트를 열고 클라이언트에 알려주면 클라이언트는 서버의 임의의 포트에 접속하여 데이터를 가져갑니다.

결과적으로 방화벽과 같은 복잡한 네트워크 환경에서는 FTP의 패시브 모드의 지원이 꼭 필요합니다. 하지만 여기서 문제가 있는데 패시브 모드에서 서버가 사용하는 임의의 포트가 1024 이후의 모든 임의의 포트라는 것입니다. 이는 서버의 보안이나 방화벽 설정을 함에 있어 껄끄러움으로 작용하게 됩니다.

vsftpd에서는 이 패시브모드의 포트의 범위를 임의 설정할 수 있습니다. 그렇게 되면 방화벽 설정도 한결 용이해 질것입니다. /etc/vsftpd/vsftpd.conf 파일에 다음의 내용을 추가해줍니다.

pasv_enable=Yes
pasv_min_port=10090
pasv_max_port=10100

위에서 설정한 포트의 범위는 원하시는 적절한 범위로 설정하시기 바랍니다. 이제 방화벽 설정을 추가해 보겠습니다. /etc/sysconfig/iptables 에 다음을 추가하겠습니다.

-A INPUT -m state --state NEW -m tcp -p tcp --dport 10090:10100 -j ACCEPT

이제 데몬들을 재시작하면 패시브 모드가 정상적으로 동작하게 됩니다.

ftp> get eye.sql
local: eye.sql remote: eye.sql
229 Entering Extended Passive Mode (|||10093|).
150 Opening BINARY mode data connection for eye.sql (13719976 bytes).
 30% |****************                                       |  4094 KiB  682.45 KiB/s    00:13 ETA

파일을 한번 다운로드 받아보았습니다. 정상적으로 패시브 모드로 진입하는것을 확인할 수 있습니다.