首页主机资讯Debian与vsftp的防火墙规则如何配置

Debian与vsftp的防火墙规则如何配置

时间2025-11-17 09:29:04发布访客分类主机资讯浏览721
导读:Debian 与 vsftpd 防火墙规则配置 一、前置准备 安装并启动 vsftpd:sudo apt update && sudo apt install vsftpd -y && sudo syste...

Debian 与 vsftpd 防火墙规则配置

一、前置准备

  • 安装并启动 vsftpd:sudo apt update & & sudo apt install vsftpd -y & & sudo systemctl enable --now vsftpd
  • 备份配置:sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.bak
  • 建议先放行 SSH(端口 22/TCP),避免远程中断:sudo ufw allow 22/tcp 或按需配置 iptables

二、使用 UFW 配置

  • 启用 UFW:sudo ufw enable
  • 放行 FTP 控制与数据端口:sudo ufw allow 21/tcp;sudo ufw allow 20/tcp
  • 配置并放行被动模式端口范围(示例为 50000–50100/TCP):
    • 编辑 /etc/vsftpd.conf:pasv_enable=YES,pasv_min_port=50000,pasv_max_port=50100
    • 防火墙放行:sudo ufw allow 50000:50100/tcp
  • 可选:启用加密传输(FTPS)
    • 配置 /etc/vsftpd.conf:ssl_enable=YES,rsa_cert_file=/etc/ssl/certs/your_cert.pem,rsa_private_key_file=/etc/ssl/private/your_key.pem
    • 放行端口:sudo ufw allow 990/tcp(控制),sudo ufw allow 989/tcp(数据,若显式配置)
  • 应用并重载:sudo ufw reload;检查:sudo ufw status verbose

三、使用 iptables 配置

  • 放行控制与数据端口:sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT;sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
  • 放行被动模式端口范围(示例为 50000–50100/TCP):sudo iptables -A INPUT -p tcp --dport 50000:50100 -j ACCEPT
  • 允许已建立的连接与相关连接:sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  • 保存规则(持久化):
    • Debian 10/11:sudo apt install iptables-persistent -y;sudo netfilter-persistent save & & sudo netfilter-persistent reload
    • 通用:sudo iptables-save > /etc/iptables/rules.v4
  • 校验:sudo iptables -L -v -n

四、vsftpd 关键配置与防火墙联动

  • 基本安全与功能:listen=YES,anonymous_enable=NO,local_enable=YES,write_enable=YES,chroot_local_user=YES,allow_writeable_chroot=YES
  • 被动模式端口范围:pasv_enable=YES,pasv_min_port=50000,pasv_max_port=50100(需与防火墙放行范围一致)
  • 主动模式数据端口:connect_from_port_20=YES(与放行 20/TCP 配合)
  • 加密传输(FTPS):ssl_enable=YES,rsa_cert_file=…,rsa_private_key_file=…(与放行 990/989/TCP 配合)
  • 应用配置:sudo systemctl restart vsftpd

五、验证与常见问题

  • 服务与规则状态:sudo systemctl status vsftpd;sudo ufw status verbose 或 sudo iptables -L -v -n
  • 客户端测试:使用 FileZilla 连接,模式选择“主动/被动”与是否加密与服务器一致;验证列目录、上传/下载
  • 云服务器安全组:除系统防火墙外,还需在云平台安全组放行 21/TCP20/TCP 与被动端口范围(如 50000–50100/TCP
  • 常见问题
    • 被动模式失败:多为未配置或未放行相同的被动端口范围,核对 vsftpd.conf 与防火墙
    • 数据连接超时:主动模式需放行 20/TCP 且客户端允许主动;被动模式需放行端口范围
    • 规则未持久:确认已使用 iptables-persistent/netfilter-persistent 或保存至 /etc/iptables/rules.v4
    • 安全性:生产环境建议禁用匿名、启用 TLS/SSL、限制用户目录并仅开放必要端口

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: Debian与vsftp的防火墙规则如何配置
本文地址: https://pptw.com/jishu/748641.html
Debian系统如何卸载vsftp服务 Debian上vsftp虚拟用户如何配置

游客 回复需填写必要信息