Debian下Filezilla的防火墙设置指南

Debian下FileZilla防火墙设置指南

一 场景与原则

• FileZilla在Debian上通常作为FTP/SFTP客户端使用，本身不提供防火墙配置功能；若你在Debian上部署了FileZilla Server或需要连接外部FTP服务器，才需要在系统防火墙中放行相应端口与协议。FTP有主动模式与被动模式之分：主动模式由服务器主动连接客户端数据端口，被动模式由客户端连接服务器数据端口，后者更利于穿越防火墙与NAT，因此生产环境更常用被动模式并显式放行数据端口范围。

二 使用UFW快速放行

• 安装与启用
  • 安装：sudo apt update && sudo apt install ufw
  • 默认策略：sudo ufw default deny incoming && sudo ufw default allow outgoing
  • 启用：sudo ufw enable
• 放行控制连接
  • FTP（明文，不推荐公网）：sudo ufw allow 21/tcp
  • SFTP（基于SSH，推荐）：sudo ufw allow 22/tcp
• 放行被动模式数据端口范围（示例为50000–50050，请与服务器配置一致）
  • sudo ufw allow 50000:50050/tcp
• 可选：仅允许可信网段
  • sudo ufw allow from 203.0.113.0/24 to any port 21,22,50000:50050 proto tcp
• 使配置生效与检查
  • 重载：sudo ufw reload
  • 状态：sudo ufw status verbose 说明：UFW适合快速配置；若使用FTP明文，务必同时放行控制端口与被动端口范围，否则列表/传输会失败。

三 使用iptables放行

• 放行控制连接
  • FTP控制：sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  • SFTP控制：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
• 放行被动模式数据端口范围（示例为50000–50050）
  • sudo iptables -A INPUT -p tcp --dport 50000:50050 -j ACCEPT
• 保存与持久化（Debian常用方式）
  • 保存：sudo iptables-save | sudo tee /etc/iptables/rules.v4
  • 启用持久化服务（如已安装）：sudo systemctl enable --now netfilter-persistent 提示：iptables规则顺序重要，确保放行规则位于拒绝规则之前；云服务器还需在安全组/云防火墙中同步放行相同端口。

四 FileZilla Server与客户端配置要点

• 若你在Debian上运行FileZilla Server
  • 设置被动模式端口范围：在管理界面将被动端口设为如50000–50050，并在防火墙放行该范围。
  • 启用加密：在“Security”中勾选Use SSL/TLS for passive connections，生成并配置证书，客户端使用FTP over TLS连接。
  • 管理端口：默认管理端口为14148，如需远程管理请放行该端口（建议仅限内网/白名单）。
• 若你仅使用FileZilla客户端连接外部FTP/SFTP
  • FTP：在站点管理器中将协议设为FTP，加密选Only use plain FTP（不安全）或Require explicit FTP over TLS；若服务器使用被动模式，请与服务器管理员确认被动端口范围并在本机/边界防火墙放行。
  • SFTP：协议选SFTP（SSH File Transfer Protocol），端口22，通常只需放行服务器22/tcp即可。 要点：FTP被动端口范围必须在服务器与防火墙两侧一致；SFTP仅需放行22/tcp，无需额外数据端口。

五 验证与常见问题

• 快速验证
  • UFW：sudo ufw status numbered（核对已放行端口/来源）
  • iptables：sudo iptables -L -n -v（核对命中计数与策略顺序）
  • 连通性：对FTP用telnet 服务器IP 21或nc -vz 服务器IP 21；对SFTP用nc -vz 服务器IP 22；被动端口可用nc -vz 服务器IP 50000-50050批量测试。
• 常见症状与处理
  • 无法列目录/传输卡住：多为被动端口未放行或范围不匹配，核对服务器被动端口并在防火墙放行相同范围。
  • 连接被拒绝/超时：控制端口（21/22）未放行或服务未启动，检查服务状态与防火墙策略。
  • TLS握手失败：服务器未启用TLS或证书不受信任，启用FTP over TLS并重新获取/信任证书。
  • 云环境不通：除系统防火墙外，需在云安全组/边界防火墙同步放行对应端口与来源网段。