咱们先从最核心的点入手——你一关虚拟机的私有防火墙就能访问FTP，说明问题大概率是Windows防火墙拦截了FTP流量，哪怕路由器端口转发做好了也没用。下面是一步步的解决配置：

1. 配置Windows Server防火墙允许FTP流量 #

打开Windows Defender防火墙的高级设置，这是精准控制流量的关键入口：

• 在入站规则里，找自带的「FTP服务器（TCP-In）」和「FTP服务器被动模式（FTP Passive）」规则，右键启用它们。如果找不到这两条规则，就手动新建：
  • 新建入站规则 → 选择「端口」→ 下一步
  • 选TCP协议，指定本地端口为21（FTP主动模式的控制端口）；如果用被动模式，还要加上你后续在IIS里设置的被动端口范围（比如50000-50100）
  • 选择「允许连接」→ 下一步
  • 勾选「域」「专用」「公网」（公网选项一定要勾，不然外网访问会被拦）
  • 给规则起个好记的名字，比如「FTP主动+被动端口放行」，完成配置

2. 配置IIS FTP的被动模式参数 #

FTP有主动、被动两种模式，现在大部分客户端默认用被动模式，必须配置好才能让外网正常访问：

• 打开IIS管理器，找到你的FTP站点，右键选「属性」
• 切换到「FTP防火墙支持」标签：
  • 在「外部IP地址」里填上你的公网静态IP，这样IIS会告诉客户端用这个IP来建立被动连接
  • 设置「数据通道端口范围」（比如50000-50100），这个范围要和你刚才防火墙里放行的端口一致
• 别忘了在路由器上把这个被动端口范围也转发到虚拟机的局域网IP，和21端口一样

3. VMware网络模式的细节调整 #

你试过桥接和NAT，这两种模式的配置要点不一样：

• 桥接模式：虚拟机相当于局域网里的独立设备，要确保它的IP和主机在同一网段（比如都是192.168.1.x），路由器的端口转发直接指向虚拟机的局域网IP就行
• NAT模式：VMware会做一层地址转换，你需要打开VMware的「虚拟网络编辑器」，找到NAT对应的网络（比如VMnet8），设置端口转发规则：把主机的21端口（以及被动端口范围）转发到虚拟机的内部IP（比如192.168.233.x），此时路由器的端口转发要指向主机的局域网IP，再由VMware转交给虚拟机

4. 分步测试验证 #

按顺序测，能快速定位哪里出问题：

• 先在虚拟机内部用localhost访问FTP，确认服务本身没问题
• 再用主机的局域网IP访问虚拟机的FTP，验证防火墙规则是否生效
• 最后用公网IP测试，确认路由器转发和VMware网络配置都正常

备注：内容来源于stack exchange，提问作者Hemendr