Linux vsftp防火墙设置：保护服务器安全 - 问答

Linux vsftpd防火墙设置：保护服务器安全

FTP服务依赖控制连接（默认端口21，用于身份验证）和数据连接（动态端口，用于文件传输）。为确保vsftpd正常工作，需先开放这些基础端口：

控制连接：允许TCP端口21通过防火墙，这是FTP客户端与服务器建立连接的必要端口。
- Debian/Ubuntu（ufw）：sudo ufw allow 21/tcp
- CentOS/RHEL（firewalld）：sudo firewall-cmd --permanent --add-port=21/tcp
数据连接：
- 主动模式：需开放TCP端口20（FTP服务器向客户端发起数据连接的传统端口）。
  - Debian/Ubuntu（ufw）：sudo ufw allow 20/tcp
  - CentOS/RHEL（firewalld）：sudo firewall-cmd --permanent --add-port=20/tcp
- 被动模式（推荐）：由于主动模式易受防火墙拦截，需开放动态端口范围（如40000-50000或1024-1048），供服务器向客户端发起数据连接。
  - Debian/Ubuntu（ufw）：sudo ufw allow 40000:50000/tcp
  - CentOS/RHEL（firewalld）：sudo firewall-cmd --permanent --add-port=40000-50000/tcp

修改防火墙规则后，需保存配置以确保重启后生效：

ufw（Debian/Ubuntu）：sudo ufw reload（无需额外保存，ufw会自动持久化规则）。
firewalld（CentOS/RHEL）：sudo firewall-cmd --reload（重新加载规则，--permanent参数确保规则永久保存）。

firewalld内置了FTP服务模块，可自动处理控制连接、数据连接及被动模式的端口范围，无需手动指定端口：

添加FTP服务：sudo firewall-cmd --permanent --add-service=ftp
重载firewalld：sudo firewall-cmd --reload 此方法会自动开放FTP所需端口，并支持动态端口调整，适合新手快速配置。

若FTP服务器仅需内部网络或特定IP访问，可通过防火墙限制源IP地址：

ufw（Debian/Ubuntu）：sudo ufw allow from 192.168.1.0/24 to any port 21/tcp（仅允许192.168.1.0/24网段访问21端口）。
firewalld（CentOS/RHEL）：sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="21" accept'。

SELinux可为FTP服务提供额外的访问控制，需调整相关布尔值以允许vsftpd正常工作：

配置完成后，需通过以下方式验证防火墙是否允许FTP流量：

测试控制连接：使用FTP客户端（如FileZilla）连接服务器的21端口，确认能正常登录。
测试数据连接：上传或下载文件，确认被动模式能正常工作（无“无法打开数据连接”错误）。
查看防火墙规则：通过sudo ufw status（ufw）或sudo firewall-cmd --list-all（firewalld）确认规则已正确应用。

0 赞

0 踩