Ubuntu如何配置vsftp服务器防火墙

1. 安装并启动VSFTPD服务
首先确保系统已安装VSFTPD（Very Secure FTP Daemon），若未安装，可通过以下命令完成安装：

sudo apt update
sudo apt install vsftpd

安装完成后，启动VSFTPD服务并设置为开机自启：

sudo systemctl start vsftpd
sudo systemctl enable vsftpd

2. 配置VSFTPD基础参数
编辑VSFTPD的主配置文件/etc/vsftpd.conf（使用nano或vim等文本编辑器），根据需求调整以下关键参数（示例为常见安全配置）：

sudo nano /etc/vsftpd.conf

• 启用独立模式：listen=YES（避免依赖inetd/xinetd）；
• 禁用IPv6：listen_ipv6=NO（若无需IPv6支持）；
• 禁止匿名登录：anonymous_enable=NO（提升安全性）；
• 允许本地用户登录：local_enable=YES；
• 允许上传文件：write_enable=YES；
• 限制用户至主目录：chroot_local_user=YES（防止用户访问系统其他目录）；
• 允许chroot目录可写：allow_writeable_chroot=YES（避免用户因主目录不可写导致无法操作）。
  配置完成后保存并退出编辑器，重启VSFTPD服务使配置生效：

sudo systemctl restart vsftpd

3. 配置UFW防火墙规则
Ubuntu默认使用ufw（Uncomplicated Firewall）作为防火墙管理工具，需先启用并配置FTP相关规则：

• 启用UFW：

  sudo ufw enable
  

• 允许FTP控制连接：VSFTPD默认使用21端口进行控制连接（如登录、命令交互），需开放该端口：

  sudo ufw allow 21/tcp
  

• 允许FTP数据连接：
  • 主动模式：数据连接使用20端口，需开放：

    sudo ufw allow 20/tcp
    

  • 被动模式：数据连接使用动态端口范围（需在VSFTPD配置文件中指定），例如设置端口范围为50000-50100，需在/etc/vsftpd.conf中添加：

    pasv_enable=YES
    pasv_min_port=50000
    pasv_max_port=50100
    

    保存配置后重启VSFTPD服务，再开放该端口范围：

    sudo systemctl restart vsftpd
    sudo ufw allow 50000:50100/tcp
    

• 重新加载防火墙规则：使新规则生效：

  sudo ufw reload
  

• 验证规则：通过以下命令查看已开放的FTP端口，确认配置正确：

  sudo ufw status
  

  正常输出应包含21/tcp ALLOW、20/tcp ALLOW及被动模式端口范围（如50000:50100/tcp ALLOW）。

4. 测试FTP连接
使用FTP客户端（如FileZilla或命令行工具ftp）测试连接，确保能正常登录并传输文件。例如，通过命令行连接本地FTP服务器：

ftp localhost

输入配置的本地用户账号和密码，验证是否能成功进入主目录并进行上传/下载操作。

注意事项

• 若使用被动模式，需确保路由器/安全组已将被动模式端口范围（如50000-50100）转发至服务器；
• 若需提升安全性，建议启用FTPS（FTP over SSL/TLS），需配置SSL证书并修改/etc/vsftpd.conf中的ssl_enable=YES等参数；
• 避免开放过多端口，仅开放必要的FTP端口以降低安全风险。