如何配置FTP服务器防火墙

配置FTP服务器防火墙需根据系统类型选择工具，以下是Linux（iptables/firewalld/ufw）和Windows（IIS）的配置方法：

Linux系统

1. 使用iptables（需手动配置规则）

• 允许FTP控制连接（端口21）：
  sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
• 允许FTP数据连接（端口20及被动模式端口范围，如30000-31000）：
  sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
• 保存规则：
  sudo iptables-save > /etc/iptables/rules.v4（Debian/Ubuntu）
  sudo service iptables save（CentOS/RHEL）

2. 使用firewalld（推荐，支持动态管理）

• 开放FTP端口：
  sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=20/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp（被动模式）
• 重新加载规则：
  sudo firewall-cmd --reload

3. 使用ufw（Ubuntu简化工具）

• 允许FTP流量：
  sudo ufw allow 21/tcp
sudo ufw allow 20/tcp
sudo ufw allow 30000:31000/tcp（被动模式）
• 启用规则：
  sudo ufw reload

Windows系统（IIS FTP）

• 安装FTP服务：
  在“服务器管理器”中添加“IIS FTP服务器”组件。
• 配置防火墙：
  1. 打开“高级安全Windows防火墙” → “入站规则” → “新建规则”。
  2. 选择“端口” → 输入FTP端口（21、20及被动模式端口范围，如30000-31000） → 允许连接。
  3. 勾选“域、专用、公用”网络 → 完成规则创建。

注意事项

• 被动模式端口范围：需在FTP服务器配置文件中设置（如vsftpd的pasv_min_port和pasv_max_port），并在防火墙中开放该范围。
• 安全建议：优先使用FTPS（SSL加密）或SFTP替代标准FTP，避免明文传输敏感数据。
• 验证规则：配置后使用FTP客户端（如FileZilla）测试连接，确保端口开放且服务正常。

参考来源：