FTP 调试台 · 使用说明

两种用法：① 本站当客户端探测你指定的目标 FTP 服务器（登录、看 FEAT / SYST、列目录、上传 / 下载预览），把完整控制信道对话抓回来；② 本站当服务端开一个临时迷你 FTP 服务器，设备 / 客户端连过来上传文件，网页实时看对话与收到的文件。被动模式（PASV / EPSV）优先。支持明文 FTP 或 FTPS（AUTH TLS 显式加密）。

① 本站当客户端（探测目标 FTP）

1. 填主机 + 端口（默认 21）、用户名 / 密码（匿名留空即用 anonymous）。
2. 选动作：列目录 / 下载预览（填文件路径）/ 上传测试（填文件名 + 内容）。
3. 点探测 → 本站去连这个 FTP，跑登录 + FEAT / SYST / PWD + 被动模式传输，右边显示每一条命令与应答、解析后的目录 / 文件、以及诊断（被动是否可用、是否支持 FTPS）。

SSRF 护栏（为什么有些目标连不了）

本站跑在共享生产机上，外拨能力被严格限制为只能连公网目标：

• 拒绝环回（127.0.0.1）、私网（10/8、172.16/12、192.168/16）、链路本地、保留段、云元数据（169.254.169.254 等）。
• 域名解析后复核所有解析到的 IP，任一落在禁止段就整体拒绝（防 DNS 重绑定）。
• PASV 通告的数据地址也复核护栏——防止恶意服务器把数据连接重定向到内网。
• 单连接、抓回 ≤ 256KB、上传 ≤ 64KB、超时 ≤ 20s、每 IP 每分钟 ≤ 20 次。systemd 再加内核层 IPAddressDeny 兜底。

② 本站当服务端（接收台）

1. 点开一个 FTP 接收端口 → 拿到 ftp://120.79.19.193:<port> + 一对随机用户名 / 密码（也允许 anonymous 匿名登录）。
2. 把设备 / FTP 客户端指向它（被动模式），上传文件；右边实时看控制信道对话与收到的文件（点列表可见名字 + 大小）。
3. 支持的命令：USER / PASS / PWD / TYPE / PASV / EPSV / PORT / EPRT / LIST / NLST / STOR / RETR / DELE / SIZE / RNFR / RNTO / FEAT / SYST / QUIT 等。虚拟文件系统扁平、全在内存（单文件 ≤ 1MB、单会话 ≤ 8MB / 64 个文件），重启即清。

# lftp（被动模式默认开）：
lftp -u <user>,<pass> ftp://120.79.19.193:<port>
> put firmware.bin            # 上传，网页右边实时看到
> ls                          # 列目录

# curl 上传：
curl -T firmware.bin --ftp-pasv ftp://<user>:<pass>@120.79.19.193:<port>/

⚠️ 端口公网可枚举、凭证随手即弃——这是临时调试沙箱，不是安全文件服务。会话 2 小时空闲自动回收、归还端口。别往里传敏感数据。

被动模式与端口（重要）

FTP 控制连接与数据连接是两条 TCP。本站服务端用被动模式：每次传输临时开一个数据端口，连同控制端口都在端口池 20300-20331 内。要让设备连得上，需在阿里云安全组放行 TCP 20300-20331。客户端请务必用被动模式（lftp / curl --ftp-pasv 默认即是）。主动模式（PORT / EPRT）也支持，但要求服务端能连回客户端，且受 SSRF 护栏约束。

设备侧示例（ESP-IDF / Arduino 上传日志到本站接收口）

# 多数嵌入式 FTP 客户端库（esp_ftp_client / FTPClient）：
ftp.begin("120.79.19.193", <port>, "<user>", "<pass>");   // 被动模式
ftp.upload("log.txt", buf, len);                     // 网页右边实时看到 STOR

常见问题

设备能登录但 LIST / 上传卡住？

多半是数据端口没放行。在安全组放行 TCP 20300-20331，并确认客户端用被动模式。

探测报「目标被护栏拒绝」？

目标（或 PASV 通告的数据地址）解析到了非公网地址。探测只支持公网目标，这是有意为之的安全边界。

探测报「没收到 FTP 欢迎应答」？

对端不是 FTP 服务，或端口不对（FTP 默认 21；FTPS 隐式 990 暂不支持）。

支持 FTPS / SFTP 吗？

客户端探测台支持 FTPS（AUTH TLS 显式加密）：勾选「FTPS」即 AUTH TLS → TLS 握手（不校验证书，坏证书也看得清）→ PBSZ 0/PROT P，控制与数据通道都走加密，并抓回证书诊断（签发者 / 到期 / 自签）；对严格服务端（vsftpd require_ssl_reuse）会复用控制会话票据。SFTP 是 SSH 子系统、与 FTP 无关，不支持。服务端接收台目前仅明文。

想要别的功能？右下角「意见反馈」告诉我，或邮件 linsuwei_mic@outlook.com。