Debian FTP Server的防火墙设置怎么做

Debian FTP Server防火墙设置指南
配置Debian FTP Server的防火墙需确保FTP服务所需端口（控制连接、数据传输、被动模式）开放，同时兼顾安全性。以下是使用ufw（推荐，操作简便）和iptables（底层配置）的详细步骤：

一、前置准备

1. 安装FTP服务器（如未安装）：

   sudo apt update &
       &
        sudo apt install vsftpd -y
   

2. 配置FTP服务器（关键：设置被动模式端口范围）：
   编辑/etc/vsftpd.conf，确保以下参数正确（被动模式端口范围需与防火墙规则一致，示例为50000-50050）：

   listen=YES
   anonymous_enable=NO
   local_enable=YES
   write_enable=YES
   chroot_local_user=YES
   allow_writeable_chroot=YES
   pasv_enable=YES
   pasv_min_port=50000
   pasv_max_port=50050
   

   重启服务使配置生效：

   sudo systemctl restart vsftpd
   

二、使用ufw（推荐）配置防火墙

ufw是Debian默认的简化防火墙工具，适合新手快速配置。

1. 安装并启用ufw：

   sudo apt install ufw -y
   sudo ufw enable  # 启用ufw（首次启用会提示确认）
   

2. 允许FTP流量：
   • 允许FTP控制连接（默认端口21）：

     sudo ufw allow 21/tcp
     

   • 允许FTP数据传输（主动模式需开放端口20，但现代FTP客户端多使用被动模式，此步可选）：

     sudo ufw allow 20/tcp
     

   • 允许被动模式端口范围（根据vsftpd.conf中的pasv_min_port/pasv_max_port设置）：

     sudo ufw allow 50000:50050/tcp
     

3. 允许FTP over TLS（可选，提升安全性）：
   若启用FTPS（FTP over SSL/TLS），需额外开放控制端口990和数据端口989：

   sudo ufw allow 990/tcp
   sudo ufw allow 989/tcp
   

4. 检查并重载规则：
   • 查看当前规则（确认ACTIVE状态）：

     sudo ufw status verbose
     

   • 重载规则（修改后需重载生效）：

     sudo ufw reload
     

三、使用iptables配置防火墙

iptables是Linux底层防火墙工具，适合需要精细控制的场景。

1. 安装iptables（若未安装）：

   sudo apt install iptables -y
   

2. 添加防火墙规则：
   • 允许FTP控制连接（端口21）：

     sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
     

   • 允许FTP数据传输（主动模式端口20，被动模式需后续规则）：

     sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
     

   • 允许被动模式端口范围（根据vsftpd.conf设置，示例为50000-50050）：

     sudo iptables -A INPUT -p tcp --dport 50000:50050 -j ACCEPT
     

   • 允许已建立的连接（避免被动模式数据传输被阻断）：

     sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     

   • 允许本地回环接口（本地服务通信）：

     sudo iptables -A INPUT -i lo -j ACCEPT
     

   • 拒绝其他所有输入流量（最后一条规则，确保安全）：

     sudo iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
     

3. 保存规则（避免重启失效）：
   • 安装iptables-persistent保存规则：

     sudo apt install iptables-persistent -y
     sudo netfilter-persistent save
     

   • 或手动保存至/etc/iptables/rules.v4：

     sudo sh -c "iptables-save >
          /etc/iptables/rules.v4"
     

四、注意事项

1. 被动模式端口一致性：
   FTP服务器（vsftpd.conf）的pasv_min_port/pasv_max_port必须与防火墙规则中的被动模式端口范围完全一致，否则客户端无法正常下载/上传文件。
2. 安全性优化：
   • 避免使用FTP明文传输（易被窃听），建议启用FTPS（vsftpd配置ssl_enable=YES）或改用SFTP（SSH内置，更安全）。
   • 限制FTP用户访问权限（如chroot_local_user=YES将用户限制在主目录）。
   • 仅允许可信IP地址访问FTP（通过ufw/iptables的from参数限制，例如sudo ufw allow from 192.168.1.0/24 to any port 21/tcp）。
3. 测试连接：
   使用FTP客户端（如FileZilla）测试连接，确保能正常访问FTP服务器并传输文件。

通过以上步骤，可完成Debian FTP Server的防火墙配置，确保服务安全可用。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！