centos ftpserver防火墙设置

在CentOS系统上设置FTPS服务器（通常使用vsftpd）的防火墙涉及几个步骤。以下是详细的指南：

安装和启动vsftpd服务

首先，确保你已经安装了vsftpd。如果没有安装，可以使用以下命令进行安装：

sudo yum install vsftpd

然后，启动并设置vsftpd服务开机自启：

sudo systemctl start vsftpd
sudo systemctl enable vsftpd

配置vsftpd

编辑vsftpd的配置文件 /etc/vsftpd/vsftpd.conf，确保以下配置项已启用或添加：

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
pasv_min_port=40000
pasv_max_port=41000
pasv_address=服务器IP地址

保存并退出，然后重启vsftpd服务：

sudo systemctl restart vsftpd

配置防火墙

使用firewalld

1. 安装firewalld（如果尚未安装）：

   sudo yum install firewalld
   

2. 启动并启用firewalld：

   sudo systemctl start firewalld
   sudo systemctl enable firewalld
   

3. 查看当前防火墙状态：

   sudo firewall-cmd --state
   

4. 添加FTP服务：

   • 允许FTP控制连接（端口21）：

     sudo firewall-cmd --permanent --add-service=ftp
     

   • 允许FTP数据连接端口范围（例如，1024-65535）：

     sudo firewall-cmd --permanent --add-port=30000-31000/tcp
     

5. 重新加载防火墙配置以应用更改：

   sudo firewall-cmd --reload
   

6. 查看新的防火墙规则：

   sudo firewall-cmd --list-all
   

使用iptables

1. 安装iptables（如果尚未安装）：

   sudo yum install iptables
   

2. 启动并启用iptables：

   sudo systemctl start iptables
   sudo systemctl enable iptables
   

3. 查看当前防火墙规则：

   sudo iptables -L -n -v
   

4. 添加FTP服务规则：

   • 允许FTP控制连接（端口21）：

     sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
     

   • 允许FTP数据连接（端口20和动态端口范围）：

     sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
     sudo iptables -A INPUT -p tcp --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
     

5. 保存当前的防火墙规则：

   sudo service iptables save
   

6. 重启iptables服务以应用更改：

   sudo service iptables restart
   

额外的安全建议

• 修改SSH端口号：将SSH默认端口（22）修改为非标准端口，以减少自动化工具的扫描频率。
• 限制登录IP地址：只允许特定的IP地址或IP段访问FTP服务器。
• 使用强密码策略：确保所有用户账户都设置了强密码，并定期更换密码。
• 启用多因素身份验证（MFA）：为FTP用户启用多因素身份验证，增加登录安全性。
• 监控和记录登录活动：定期检查系统日志，及时发现并应对任何异常登录尝试。
• 使用Fail2Ban等工具：安装并配置Fail2Ban，监控SSH登录日志，防止暴力破解。

通过以上步骤和建议，你可以在CentOS系统上成功设置和管理FTPS服务器的防火墙，确保服务器的安全性和稳定性。[1,2,3,4,5,6,7,8,9,10,11]