Debian下Filezilla防火墙设置指南

一、基础准备：确认Filezilla角色与防火墙工具

Filezilla有两种使用场景：客户端（用于连接远程FTP服务器）和服务器（用于提供FTP服务）。防火墙设置需根据角色调整：

• 客户端：需允许客户端程序访问网络（通常无需特殊规则，除非系统防火墙严格限制出站连接）；
• 服务器：需开放FTP服务端口（控制连接21/tcp、数据连接20/tcp及被动模式端口范围），确保客户端能连接。
  Debian系统推荐使用ufw（Uncomplicated Firewall）作为防火墙管理工具，其命令简洁易操作。

二、UFW防火墙基础配置（适用于客户端与服务器）

若系统未安装ufw，需先执行以下命令安装：

sudo apt update
sudo apt install ufw

启用ufw并设置默认规则（拒绝所有入站连接、允许所有出站连接）：

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

查看防火墙状态（确认规则是否生效）：

sudo ufw status

三、客户端场景：允许Filezilla连接外部FTP服务器

若使用Filezilla作为客户端连接远程FTP服务器，通常无需额外配置ufw（默认允许所有出站连接）。若系统防火墙严格限制出站连接，可添加以下规则：

sudo ufw allow out 21/tcp    # 允许出站FTP控制连接
sudo ufw allow out 50000:50050/tcp  # 允许出站被动模式端口范围（根据服务器设置调整）

四、服务器场景：允许客户端连接本机Filezilla Server

若使用Debian作为FTP服务器（安装了Filezilla Server），需开放以下端口：

1. 控制连接端口（FTP默认端口，必开）：

   sudo ufw allow 21/tcp
   

2. 被动模式端口范围（必开，用于数据传输）：
   需先在Filezilla Server中设置被动模式端口范围（路径：FileZilla Server Interface → Edit → Settings → Passive mode settings → Port range，例如50000-50050），然后在ufw中开放该范围：

   sudo ufw allow 50000:50050/tcp
   

3. 可选：限制访问IP（增强安全性，仅允许特定IP连接）：

   sudo ufw allow from 192.168.1.100/32 to any port 21/tcp  # 仅允许192.168.1.100访问FTP控制端口
   sudo ufw allow from 192.168.1.100/32 to any port 50000:50050/tcp  # 仅允许192.168.1.100访问被动模式端口
   

添加规则后，重新加载ufw使配置生效：

sudo ufw reload

五、常见问题排查：连接超时处理

若连接FTP服务器时出现超时，需检查以下内容：

1. 防火墙规则是否正确：通过sudo ufw status确认端口是否开放；
2. 被动模式配置是否正确：确保服务器的被动模式端口范围与ufw开放的端口范围一致，且在FileZilla Server的Passive mode settings中填写了正确的“外部服务器IP地址”（即服务器的公网IP或路由器映射的IP）；
3. 网络连通性：使用ping命令测试客户端与服务器的网络连接，确保能正常访问。

六、补充：iptables防火墙配置（可选）

若需使用iptables（传统防火墙工具），可执行以下命令：

1. 允许FTP控制连接：

   sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
   

2. 允许被动模式端口范围（例如50000-50050）：

   sudo iptables -A INPUT -p tcp --dport 50000:50050 -j ACCEPT
   

3. 保存规则（避免重启后丢失）：

   sudo iptables-save | sudo tee /etc/iptables/rules.v4
   

4. 启用iptables服务：

   sudo systemctl enable iptables
   sudo systemctl start iptables