Go标准库net/ftp仅提供客户端支持,无内置FTP服务端;需用第三方库如github.com/freddierice/go-ftp-server,手动实现FileSystem接口、处理PASV/PORT模式及权限校验。
用 net/ftp 实现不了 FTP 服务器
Go 标准库只提供了 FTP 客户端支持(net/ftp),**没有内置的 FTP 服务端实现**。想跑一个能被 FileZilla、curl 或系统命令 ftp 连上的 FTP 服务器,必须自己处理协议解析、命令状态机、PASV/PORT 模式切换、数据连接建立等细节——这远超“简单”范畴。
常见错误现象:import "net/ftp" 后试图调用 NewServer 或类似函数,编译直接报错;或者误以为 ftp.ListenAndServe 存在,实际查文档发现根本没这个接口。
- 标准库
net/ftp只含ServerConn(客户端连接对象),不是服务端 - FTP 协议本身有控制连接 + 数据连接双通道,还分主动(PORT)和被动(PASV)模式,Go 原生 net 包不自动帮你桥接这两条流
- 用户认证、目录遍历权限、ASCII/binary 模式切换、MLSD 响应格式等,全得手写
推荐用 github.com/freddierice/go-ftp-server
这是目前最轻量、可嵌入、维护尚可的第三方 FTP 服务端库。它不依赖 cgo,纯 Go 实现,暴露的是 ftp.Server 结构体,能快速启动一个基础服务。
使用场景:CI 中临时传构建产物、内网小工具配套、测试环境模拟 FTP 端点。
立即学习“go语言免费学习笔记(深入)”;
- 初始化时需提供
ftp.ServerConfig,其中FileSystem字段必须实现ftp.FileSystem接口(至少支持Open、Stat、ReadDir) - 默认监听
21端口,但若非 root 用户运行,得改用 >1024 的端口(如:2121) - PASV 模式下需显式设置
PasvAddress(比如"127.0.0.1"),否则客户端连不上数据端口
server := &ftp.Server{
Factory: &myFactory{},
Settings: ftp.Settings{
PasvAddress: "127.0.0.1",
PortRange: [2]uint16{50000, 50010},
},
}
server.ListenAndServe(":2121")
ftp.FileSystem 实现里最容易漏掉权限检查
很多示例直接返回 os.DirFS("/tmp"),看似能列目录、读文件,但一试写操作(STOR、MKD)就失败——因为默认 os.DirFS 是只读的,且不校验用户身份。
真实部署中,你得自己包装一层:对每个路径判断是否属于该用户根目录、是否越界(防止 ../ 跳出)、是否有对应 r/w/x 权限。
-
Open方法返回的io.ReadWriteCloser必须支持Write才能接收上传,别忘了os.O_CREATE | os.O_WRONLY -
Stat返回的os.FileInfo中Mode()建议设为0644(文件)或0755(目录),否则某些客户端(如 macOS Finder)会拒绝显示 - 不要在
ReadDir里直接返回os.ReadDir结果,要过滤掉以.开头的隐藏项,否则 MLSD 命令会暴露.git之类目录
调试时先关 PASV,用 PORT 模式验证通路
本地开发最常卡在 PASV 模式:服务端开了随机端口,但防火墙或 NAT 没放行,客户端连不上数据连接。此时先强制走 PORT 模式,能快速定位是协议逻辑问题还是网络配置问题。
做法是客户端连接后发 ftp -d 或用 curl -v ftp://user:pass@localhost:2121/,看 log 是否出现 Entering Passive Mode;如果想跳过它,启动 FTP 客户端时加 -p 参数(表示禁用 PASV)。
- 服务端日志里看到
PORT command received但后续没数据连接,说明客户端没成功反连回来——检查客户端是否在容器/VM 里,其 IP 对服务端不可达 - 用
tcpdump -i lo port 2121 or portrange 50000-50010可确认控制连接和数据连接是否真建起来了 - 别在笔记本上测试 PASV,Wi-Fi 网络常拦截高位端口;优先用
127.0.0.1+ PORT 模式跑通再切
FTP 协议层的状态同步很脆弱,控制连接断开后数据连接往往还挂着,下次命令可能因状态不一致直接 reset。上线前一定用不同客户端(FileZilla、lftp、curl)各压测几次断连重连。
