问答

debian

Debian FTP Server防火墙设置技巧

小樊

38

2025-08-29 08:55:24

栏目：智能运维

以下是Debian FTP Server防火墙设置技巧，使用iptables或ufw工具：

一、基础规则配置

允许FTP控制与数据连接
- 控制连接（端口21）：
  sudo ufw allow 21/tcp 或 sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
- 数据连接（端口20）：
  sudo ufw allow 20/tcp 或 sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
开放被动模式端口范围
- 假设被动模式端口范围为1024-65535（可自定义，如50000-51000）：
  sudo ufw allow 1024:65535/tcp 或 sudo iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT

二、工具选择与规则保存

UFW（推荐，简单易用）
- 启用防火墙：sudo ufw enable
- 保存规则：sudo ufw reload
- 查看状态：sudo ufw status verbose
IPTables（需手动管理）
- 保存规则：sudo sh -c "iptables-save > /etc/iptables/rules.v4"
- 开机自启动：创建脚本/etc/network/if-pre-up.d/iptables，内容为iptables-restore < /etc/iptables/rules.v4，并赋予执行权限sudo chmod +x /etc/network/if-pre-up.d/iptables

三、关键注意事项

被动模式配置
- 需在FTP服务器配置文件（如/etc/vsftpd.conf）中设置pasv_min_port和pasv_max_port，并与防火墙规则一致。
安全性建议
- 优先使用SFTP（SSH加密）或FTPS（SSL/TLS加密）替代传统FTP，避免数据明文传输。
- 限制FTP访问IP（如仅允许可信IP）：sudo ufw deny in on eth0 from any to any port 21（需替换为实际IP段）。
测试验证
- 使用ftp或lftp客户端连接服务器，确保能正常传输文件。
- 通过sudo iptables -L -n或sudo ufw status确认规则生效。

四、参考命令速查表

场景	UFW命令	IPTables命令
允许FTP控制端口	`sudo ufw allow 21/tcp`	`sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT`
允许FTP数据端口	`sudo ufw allow 20/tcp`	`sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT`
允许被动模式端口段	`sudo ufw allow 50000:51000/tcp`	`sudo iptables -A INPUT -p tcp --dport 50000:51000 -j ACCEPT`
保存规则	`sudo ufw reload`	`sudo sh -c "iptables-save > /etc/iptables/rules.v4"`

参考来源：

0 赞

0 踩

看了该问题的人还看了

行业资讯-文章归档问答-问答归档