如何配置FTP服务器防火墙规则 - 问答

配置FTP服务器防火墙规则需根据操作系统选择工具，核心是开放FTP控制端口（21）、数据端口（20）及被动模式端口范围，以下是具体步骤：

Linux系统（以CentOS为例）

1. 使用firewalld（推荐）

开放基础端口：

sudo firewall-cmd --permanent --add-port=21/tcp  # 控制端口  
sudo firewall-cmd --permanent --add-port=20/tcp  # 数据端口（主动模式）  
sudo firewall-cmd --permanent --add-port=30000-31000/tcp  # 被动模式端口范围（需与服务器配置一致）

重启防火墙生效：
```
sudo firewall-cmd --reload  
```
验证规则：
```
sudo firewall-cmd --list-all  
```

2. 使用iptables

开放端口规则：

sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT  # 控制端口  
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT  # 数据端口（主动模式）  
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT  # 被动模式端口范围  
sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT  # 允许控制端口出站  
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT  # 允许数据端口出站

保存规则：

sudo service iptables save  # CentOS 6  
sudo iptables-save > /etc/iptables/rules.v4  # CentOS 7+

Windows系统（以IIS为例）

通过防火墙添加入站规则：
1. 打开「控制面板→Windows Defender防火墙→高级设置→入站规则→新建规则」。
2. 选择「端口→TCP→特定端口」，输入21（控制端口），允许连接。
3. 若使用被动模式，需额外添加端口范围（如50000-50100）。
配置FTP服务端口：
在IIS管理器中，通过「FTP防火墙支持」设置被动模式端口范围，并确保与防火墙规则一致。

关键注意事项

被动模式：需在服务器配置文件中指定端口范围（如vsftpd.conf中设置pasv_min_port和pasv_max_port），并确保防火墙开放该范围。
安全性：建议限制FTP访问IP（通过防火墙白名单），或使用SFTP（SSH加密）替代FTP。
测试验证：配置后通过FTP客户端连接，检查被动/主动模式是否正常传输数据。

根据实际网络环境调整端口范围，确保规则与FTP服务器软件配置一致。

0 赞

0 踩