Debian下vsftpd防火墙设置

Debian下vsftpd防火墙设置指南
在Debian系统中，vsftpd（Very Secure FTP Daemon）的防火墙配置主要涉及ufw（Uncomplicated Firewall，推荐）和iptables两种工具，需结合vsftpd的被动模式端口范围调整，确保FTP服务正常运行且安全。

一、前置准备：配置vsftpd的被动模式端口范围

被动模式（PASV）是FTP客户端常用的连接方式，需在vsftpd配置文件中指定端口范围，以便防火墙放行。

1. 编辑vsftpd主配置文件：

   sudo nano /etc/vsftpd.conf
   

2. 添加/修改以下参数（根据需求调整端口范围，例如50000-50100）：

   pasv_enable=YES       # 启用被动模式
   pasv_min_port=50000   # 被动模式最小端口
   pasv_max_port=50100   # 被动模式最大端口
   pasv_address=<服务器公网IP>  # 若服务器有公网IP，需指定（可选）
   

3. 保存文件并重启vsftpd服务：

   sudo systemctl restart vsftpd
   

二、使用ufw（推荐）配置防火墙

ufw是Debian默认的简化防火墙工具，操作便捷，适合大多数场景。

1. 安装ufw（若未安装）：

   sudo apt update && sudo apt install ufw -y
   

2. 启用ufw：

   sudo ufw enable
   

3. 允许FTP流量：
   • 允许FTP控制端口（21，用于命令传输）：

     sudo ufw allow 21/tcp
     

   • 允许FTP数据端口（20，用于主动模式数据传输，可选，若使用被动模式可忽略）：

     sudo ufw allow 20/tcp
     

   • 允许被动模式端口范围（根据vsftpd配置调整，例如50000-50100）：

     sudo ufw allow 50000:50100/tcp
     

4. 允许已建立的连接（避免主动模式数据传输被拦截）：

   sudo ufw allow 'vsftpd'  # 或使用：sudo ufw allow established
   

5. 检查ufw状态确认规则生效：

   sudo ufw status verbose
   

   输出应包含类似内容：

   Status: active
   To                         Action      From
   --                         ------      ----
   21/tcp                     ALLOW       Anywhere
   50000:50100/tcp            ALLOW       Anywhere
   21/tcp (v6)                ALLOW       Anywhere (v6)
   50000:50100/tcp (v6)       ALLOW       Anywhere (v6)
   

三、使用iptables配置防火墙

若需更细粒度的控制，可使用iptables（需手动保存规则）。

1. 安装iptables（若未安装）：

   sudo apt update && sudo apt install iptables -y
   

2. 配置防火墙规则：
   • 允许FTP控制端口（21）：

     sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
     

   • 允许FTP数据端口（20，主动模式）：

     sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
     

   • 允许被动模式端口范围（根据vsftpd配置调整，例如50000-50100）：

     sudo iptables -A INPUT -p tcp --dport 50000:50100 -j ACCEPT
     

   • 允许本地回环接口（避免本地服务被拦截）：

     sudo iptables -A INPUT -i lo -j ACCEPT
     

   • 允许已建立的连接（避免主动模式数据传输被拦截）：

     sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     

   • 拒绝其他所有输入（默认拒绝策略）：

     sudo iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
     

3. 保存iptables规则（避免重启失效）：

   sudo apt install iptables-persistent -y
   sudo netfilter-persistent save
   

4. 检查规则是否生效：

   sudo iptables -L -n
   

四、注意事项

1. 被动模式端口范围一致性：vsftpd配置的pasv_min_port/pasv_max_port必须与防火墙规则中的端口范围完全一致，否则客户端连接会失败。
2. FTP协议安全性：FTP协议本身未加密，建议启用FTPS（FTP over SSL/TLS）或改用SFTP（SSH File Transfer Protocol）提升数据传输安全性。
3. 防火墙规则测试：配置完成后，使用FTP客户端（如FileZilla）连接服务器，验证主动/被动模式是否正常工作（被动模式下需确保客户端能访问服务器的被动模式端口范围）。
4. 网络环境适配：若服务器位于NAT后方（如家用路由器），需在路由器上配置端口转发，将FTP端口（21及被动模式端口范围）转发至服务器内网IP。

通过以上步骤，即可在Debian系统上为vsftpd配置防火墙规则，确保FTP服务的安全性和可用性。