Linux FTPServer的防火墙配置技巧

Linux FTP Server 防火墙配置技巧

一基础概念与模式选择

FTP 有两种工作模式：主动模式（服务器从20/tcp主动连客户端的数据端口）与被动模式（服务器在被动端口范围监听，由客户端主动连入）。主动模式常受客户端 NAT/防火墙影响，跨公网更推荐被动模式。无论哪种模式，控制通道都使用21/tcp。为提高可控性与安全性，建议在服务器上显式配置被动端口范围，并在防火墙中仅放行该范围。

二使用 firewalld 的推荐做法

放行控制通道与被动端口范围（示例范围：30000–31000/tcp）：
```
sudo firewall-cmd --permanent --add-service=ftp
sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp
sudo firewall-cmd --reload
```
说明：许多发行版对内置的 ftp 服务包含模块处理 FTP 协议细节；若未生效或你使用自定义端口，显式放行 21/tcp 与被动端口范围更稳妥。

仅允许特定来源访问（示例：仅内网 192.168.1.0/24）：

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ftp" accept'
sudo firewall-cmd --reload

运行时查看与持久化：
```
sudo firewall-cmd --list-all
sudo firewall-cmd --runtime-to-permanent
```
提示：若使用 firewalld，优先用“服务/富规则+端口”的组合，减少直接操作链表的复杂度。

三使用 iptables 的做法

放行控制通道（21/tcp），并仅对被动端口范围放行数据通道（示例：30000–31000/tcp）：

# 控制通道
sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

# 被动模式数据通道（服务器监听）
sudo iptables -A INPUT -p tcp --dport 30000:31000 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 30000:31000 -m state --state ESTABLISHED -j ACCEPT

说明：主动模式涉及服务器从 20/tcp 主动出站连接客户端高位端口，但在 NAT/严格出站策略下更易受阻，跨公网环境通常改用被动模式。

保存规则（按发行版）：
- Debian/Ubuntu：
```
sudo apt-get install iptables-persistent
sudo netfilter-persistent save
sudo netfilter-persistent reload
```
- RHEL/CentOS 7（传统方式）：
```
sudo service iptables save
```
- 通用：
```
sudo iptables-save > /etc/iptables/rules.v4
```
提示：规则顺序与状态匹配（NEW/ESTABLISHED）很重要，避免误放或拦截。

四 vsftpd 与防火墙的配合要点

在 /etc/vsftpd.conf 中显式设置被动端口范围，并重启服务：

pasv_min_port=30000
pasv_max_port=31000
# 其他常用安全项可按需开启：
# anonymous_enable=NO
# local_enable=YES
# write_enable=YES
# chroot_local_user=YES
sudo systemctl restart vsftpd

随后在防火墙中仅放行上述端口范围，避免开放 1024–65535 这类过宽区间。

若使用非默认端口（如 2121/tcp），需同步修改 vsftpd 的 listen_port 并在防火墙放行对应端口。

五安全加固与排错清单

加固建议
- 优先采用被动模式 + 固定小范围被动端口，并在防火墙精确放行；避免使用过宽端口段。
- 结合 firewalld 富规则限制来源网段，仅暴露必要服务。
- 启用 SELinux/AppArmor 等强制访问控制，配合最小权限原则；必要时检查相关布尔值与策略。
- 如非必须，优先考虑更安全的 SFTP/SSH 替代明文 FTP。
快速排错
- 使用 sudo firewall-cmd --list-all 或 sudo iptables -L -n -v 核对规则是否生效与命中计数。
- 客户端连接失败但端口已放行时，优先检查：被动端口范围是否一致、服务器是否监听该范围、NAT/云安全组是否放通、SELinux/AppArmor 是否拦截。

最新问答

相关标签