如何配置FTP服务器防火墙规则

配置FTP服务器防火墙规则需根据操作系统选择工具，核心是开放FTP控制端口（21）、数据端口（20）及被动模式端口范围，以下是具体步骤：

Linux系统（以CentOS为例）

1. 使用firewalld（推荐）

• 开放基础端口：

  sudo firewall-cmd --permanent --add-port=21/tcp  # 控制端口  
  sudo firewall-cmd --permanent --add-port=20/tcp  # 数据端口（主动模式）  
  sudo firewall-cmd --permanent --add-port=30000-31000/tcp  # 被动模式端口范围（需与服务器配置一致）  
  

• 重启防火墙生效：

  sudo firewall-cmd --reload  
  

• 验证规则：

  sudo firewall-cmd --list-all  
  

2. 使用iptables

• 开放端口规则：

  sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT  # 控制端口  
  sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT  # 数据端口（主动模式）  
  sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT  # 被动模式端口范围  
  sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT  # 允许控制端口出站  
  sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT  # 允许数据端口出站  
  

• 保存规则：

  sudo service iptables save  # CentOS 6  
  sudo iptables-save > /etc/iptables/rules.v4  # CentOS 7+  
  

Windows系统（以IIS为例）

• 通过防火墙添加入站规则：
  1. 打开「控制面板→Windows Defender防火墙→高级设置→入站规则→新建规则」。
  2. 选择「端口→TCP→特定端口」，输入21（控制端口），允许连接。
  3. 若使用被动模式，需额外添加端口范围（如50000-50100）。
• 配置FTP服务端口：
  在IIS管理器中，通过「FTP防火墙支持」设置被动模式端口范围，并确保与防火墙规则一致。

关键注意事项

• 被动模式：需在服务器配置文件中指定端口范围（如vsftpd.conf中设置pasv_min_port和pasv_max_port），并确保防火墙开放该范围。
• 安全性：建议限制FTP访问IP（通过防火墙白名单），或使用SFTP（SSH加密）替代FTP。
• 测试验证：配置后通过FTP客户端连接，检查被动/主动模式是否正常传输数据。

根据实际网络环境调整端口范围，确保规则与FTP服务器软件配置一致。