Linux中FileZilla的防火墙设置怎么做

Linux中FileZilla的防火墙设置

一、先明确角色与总体思路

• FileZilla 是FTP客户端，本身不提供防火墙配置功能；需要在操作系统层面放行相应端口与协议。
• 若你在本机使用 FileZilla 连接外部 FTP，需确保本机防火墙允许出站连接到目标 FTP 服务器的端口（通常为21/TCP以及被动模式数据端口）。
• 若你在 Linux 上部署 FileZilla Server 供他人连接，需放行入站的 21/TCP（控制连接）和你配置的被动模式端口范围（数据连接）。

二、常见防火墙工具快速放行

• firewalld（CentOS/RHEL、Fedora 等）

  • 放行控制端口与被动端口范围（示例范围：50100–52100/TCP）：

    sudo firewall-cmd --permanent --add-port=21/tcp
    sudo firewall-cmd --permanent --add-port=50100-52100/tcp
    sudo firewall-cmd --reload
    sudo firewall-cmd --list-all
    

  • 如需限制来源，可放到指定 zone 后再放行端口。

• UFW（Ubuntu/Debian 常见）

  • 放行控制端口与被动端口范围（示例范围：30000–31000/TCP）：

    sudo ufw allow 21/tcp
    sudo ufw allow 30000:31000/tcp
    sudo ufw reload
    sudo ufw status
    

  • 注意 UFW 默认策略通常为：deny incoming、allow outgoing。

• iptables（传统方式，适用于各类发行版）

  • 放行控制端口与被动端口范围（示例范围：50100–52100/TCP）：

    sudo iptables -A INPUT -p tcp --dport 21   -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 50100:52100 -j ACCEPT
    # 持久化（路径因发行版而异）
    sudo iptables-save | sudo tee /etc/iptables/rules.v4
    

  • 若需放行主动模式数据通道，通常还需放行20/TCP（从服务器到客户端的主动数据连接）。

三、FileZilla Server 端的关键配置

• 在 FileZilla Server 管理界面 → 设置 中，启用并设置一个明确的被动模式端口范围（避免使用过大的范围，推荐如：50100–52100），然后在防火墙中放行该范围。
• 若服务器位于云平台或边界防火墙之后，还需在云安全组/边界防火墙同步放行上述端口。

四、验证与排错要点

• 本机作为客户端连通性测试：

  nc -vz <FTP服务器IP或域名> 21
  

  能连通说明控制通道未被本机防火墙阻断。
• 服务器侧查看规则是否生效：
  • firewalld：sudo firewall-cmd --list-all
  • UFW：sudo ufw status
  • iptables：sudo iptables -L -n
• FTP 为有状态协议：主动模式与被动模式涉及的端口不同。若使用被动模式，务必在服务器与防火墙中放行你配置的被动端口范围；若使用主动模式，确保服务器可发起出站连接到客户端高位端口（可能被某些严格策略拦截）。