Ubuntu FTPServer防火墙设置要点是什么

Ubuntu FTP Server防火墙设置要点

1. 选择防火墙管理工具

Ubuntu系统默认使用**UFW（Uncomplicated Firewall）**作为防火墙管理工具，因其操作简单、配置直观，是新手推荐的选择；若需更底层配置，也可使用iptables，但需手动保存规则。

2. 允许FTP控制连接端口

FTP协议的核心是控制连接（用于发送命令），默认使用TCP端口21。无论使用UFW还是iptables，均需首先开放此端口：

• UFW命令：sudo ufw allow 21/tcp
• iptables命令：sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT

3. 允许FTP数据连接端口

FTP数据传输（如文件上传/下载）需通过数据端口完成，分为两种模式：

• 主动模式（PORT）：服务器主动连接客户端指定端口（默认TCP 20），需开放此端口；
• 被动模式（PASV）：服务器在动态端口范围内等待客户端连接（更常用，避免客户端防火墙拦截），需开放该端口范围。
  • UFW命令（示例范围50000-50100）：sudo ufw allow 50000:50100/tcp
  • iptables命令（示例范围50000-50050）：sudo iptables -A INPUT -p tcp --dport 50000:50050 -j ACCEPT

4. 配置FTP服务器被动模式端口范围

被动模式需在FTP服务器配置文件中明确端口范围，并同步开放防火墙。以vsftpd为例：

• 编辑配置文件：sudo nano /etc/vsftpd.conf
• 添加/修改以下参数（根据需求调整范围，建议避开系统常用端口）：
  pasv_enable=YES（启用被动模式）
  pasv_min_port=50000（最小端口）
  pasv_max_port=50100（最大端口）
• 重启服务使配置生效：sudo systemctl restart vsftpd

5. 保存防火墙规则（针对iptables）

若使用iptables，规则默认不会持久化，需安装iptables-persistent工具保存：

• 安装工具：sudo apt install iptables-persistent
• 保存规则：sudo netfilter-persistent save
• 重启规则：sudo netfilter-persistent reload

6. 验证防火墙规则有效性

• 查看UFW状态：sudo ufw status（确认21、20及被动模式端口范围显示为“ALLOW”）；
• 查看iptables规则：sudo iptables -L -v（确认对应端口规则存在且计数递增）；
• 测试FTP连接：使用客户端（如FileZilla）尝试连接，确保能正常登录并传输文件。

7. 增强安全性注意事项

• 优先使用SFTP/FTPS：FTP协议传输数据未加密，易被窃取或篡改，建议使用基于SSH的SFTP（更安全、无需额外开放端口）或FTPS（FTP over SSL/TLS，加密传输）；
• 限制访问IP：若仅需内部网络访问，可通过UFW限制源IP（如仅允许192.168.1.0/24网段）：sudo ufw allow from 192.168.1.0/24 to any port 21/tcp；
• 定期更新软件：保持vsftpd、ufw等软件为最新版本，修复已知安全漏洞。