问答
问答
debian

Debian FTP Server的防火墙设置怎么做

小樊
40
2025-09-29 03:35:01
栏目: 智能运维

Debian FTP Server防火墙设置指南
配置Debian FTP Server的防火墙需确保FTP服务所需端口(控制连接、数据传输、被动模式)开放,同时兼顾安全性。以下是使用ufw(推荐,操作简便)和iptables(底层配置)的详细步骤:

一、前置准备

  1. 安装FTP服务器(如未安装):
    sudo apt update && sudo apt install vsftpd -y
  2. 配置FTP服务器(关键:设置被动模式端口范围):
    编辑/etc/vsftpd.conf,确保以下参数正确(被动模式端口范围需与防火墙规则一致,示例为50000-50050):
    listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50050
    重启服务使配置生效:
    sudo systemctl restart vsftpd

二、使用ufw(推荐)配置防火墙

ufw是Debian默认的简化防火墙工具,适合新手快速配置。

  1. 安装并启用ufw
    sudo apt install ufw -y
sudo ufw enable  # 启用ufw(首次启用会提示确认)
  2. 允许FTP流量
    • 允许FTP控制连接(默认端口21):
      sudo ufw allow 21/tcp
    • 允许FTP数据传输(主动模式需开放端口20,但现代FTP客户端多使用被动模式,此步可选):
      sudo ufw allow 20/tcp
    • 允许被动模式端口范围(根据vsftpd.conf中的pasv_min_port/pasv_max_port设置):
      sudo ufw allow 50000:50050/tcp
  3. 允许FTP over TLS(可选,提升安全性)
    若启用FTPS(FTP over SSL/TLS),需额外开放控制端口990和数据端口989:
    sudo ufw allow 990/tcp
sudo ufw allow 989/tcp
  4. 检查并重载规则
    • 查看当前规则(确认ACTIVE状态):
      sudo ufw status verbose
    • 重载规则(修改后需重载生效):
      sudo ufw reload

三、使用iptables配置防火墙

iptables是Linux底层防火墙工具,适合需要精细控制的场景。

  1. 安装iptables(若未安装):
    sudo apt install iptables -y
  2. 添加防火墙规则
    • 允许FTP控制连接(端口21):
      sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    • 允许FTP数据传输(主动模式端口20,被动模式需后续规则):
      sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    • 允许被动模式端口范围(根据vsftpd.conf设置,示例为50000-50050):
      sudo iptables -A INPUT -p tcp --dport 50000:50050 -j ACCEPT
    • 允许已建立的连接(避免被动模式数据传输被阻断):
      sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    • 允许本地回环接口(本地服务通信):
      sudo iptables -A INPUT -i lo -j ACCEPT
    • 拒绝其他所有输入流量(最后一条规则,确保安全):
      sudo iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
  3. 保存规则(避免重启失效):
    • 安装iptables-persistent保存规则:
      sudo apt install iptables-persistent -y
sudo netfilter-persistent save
    • 或手动保存至/etc/iptables/rules.v4
      sudo sh -c "iptables-save > /etc/iptables/rules.v4"

四、注意事项

  1. 被动模式端口一致性
    FTP服务器(vsftpd.conf)的pasv_min_port/pasv_max_port必须与防火墙规则中的被动模式端口范围完全一致,否则客户端无法正常下载/上传文件。
  2. 安全性优化
    • 避免使用FTP明文传输(易被窃听),建议启用FTPS(vsftpd配置ssl_enable=YES)或改用SFTP(SSH内置,更安全)。
    • 限制FTP用户访问权限(如chroot_local_user=YES将用户限制在主目录)。
    • 仅允许可信IP地址访问FTP(通过ufw/iptables的from参数限制,例如sudo ufw allow from 192.168.1.0/24 to any port 21/tcp)。
  3. 测试连接
    使用FTP客户端(如FileZilla)测试连接,确保能正常访问FTP服务器并传输文件。

通过以上步骤,可完成Debian FTP Server的防火墙配置,确保服务安全可用。

0
看了该问题的人还看了
产品服务
地区划分
帮助支持
关于我们
行业资讯-文章归档 问答-问答归档
广州亿速云计算有限公司

7*24小时在线电话:400-100-2938

7*24小时在线QQ:800811969

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有
粤ICP备17096448号-1 粤公网安备 44010402001142号