FileZilla在Linux上如何使用防火墙 - 问答

Linux上用防火墙保障FileZilla的要点

先明确角色与模式

FileZilla 客户端运行在本地或某台 Linux 主机上，用于连接远程 FTP/SFTP 服务器；FileZilla Server 运行在你要提供文件服务的 Linux 主机上。
FTP 有主动模式与被动模式之分：主动模式由服务器从20/TCP主动连客户端的数据端口；被动模式由服务器开放一段数据端口范围，客户端主动连这些端口。两种模式对防火墙放行规则的要求不同。
若使用 SFTP（基于 SSH），只涉及 22/TCP，不涉及 FTP 的数据端口范围。

常见防火墙工具与最小放行原则

常见工具：firewalld（RHEL/CentOS/Fedora 常用）、ufw（Ubuntu/Debian 常用）、iptables（底层通用）。
最小放行原则：只放行需要的端口与来源；FTP 被动模式需放行一段数据端口；SFTP 仅放行 22/TCP。

场景一使用 FileZilla 客户端连接外部 FTP/SFTP

SFTP（推荐）：放行 SSH 端口即可
- firewalld：sudo firewall-cmd --permanent --add-service=ssh && sudo firewall-cmd --reload
- ufw：sudo ufw allow 22/tcp
- iptables：sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
FTP 主动模式：放行控制与服务器主动数据端口
- 放行控制：21/TCP
- 放行服务器主动数据：20/TCP
- 示例（firewalld）：sudo firewall-cmd --permanent --add-port=21/tcp --add-port=20/tcp && sudo firewall-cmd --reload
FTP 被动模式：放行控制端口与服务器被动端口范围
- 放行控制：21/TCP
- 放行被动端口范围（示例为 50100–52100/TCP，需与服务器配置一致）
- 示例（firewalld）：sudo firewall-cmd --permanent --add-port=21/tcp --add-port=50100-52100/tcp && sudo firewall-cmd --reload
- 说明：仅放行 21/TCP 而不放行被动端口范围，会导致目录列表/传输失败。

场景二在 Linux 上运行 FileZilla Server 的防火墙配置

配置被动端口范围（FileZilla Server 界面设置）
- 编辑站点设置 → 被动模式设置 → 自定义端口范围（如：50100–52100），保存。
放行防火墙
- firewalld（示例范围与上一致）：
  - sudo firewall-cmd --permanent --add-port=21/tcp
  - sudo firewall-cmd --permanent --add-port=50100-52100/tcp
  - sudo firewall-cmd --reload && sudo firewall-cmd --list-all
- ufw（示例范围与上一致）：
  - sudo ufw allow 21/tcp
  - sudo ufw allow 50100:52100/tcp
- iptables（示例范围与上一致）：
  - sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  - sudo iptables -A INPUT -p tcp --dport 50100:52100 -j ACCEPT
云服务器注意：除系统防火墙外，还需在云厂商安全组放行相同端口与来源网段。

验证与排错

连通性测试
- FTP 控制端口：nc -vz <服务器IP> 21 或 telnet <服务器IP> 21
- 被动端口范围：nc -vz <服务器IP> 50100（示例端口）
抓包定位（服务器端）
- sudo tcpdump -ni any 'tcp port 21 or (tcp portrange 50100-52100)'
常见原因
- 未放行被动端口范围（FTP 被动模式必现）
- 云安全组/外部防火墙未放行
- 服务器被动端口范围与防火墙放行范围不一致
- FTP 明文端口被中间设备限制（建议优先用 SFTP/22/TCP）

0 赞

0 踩