Ubuntu FTP Server防火墙设置指南

Ubuntu FTP Server 防火墙设置指南

一 前置准备与模式选择

• 安装并启用 FTP 服务（以 vsftpd 为例）：sudo apt update & & sudo apt install vsftpd & & sudo systemctl enable --now vsftpd。出于安全建议禁用匿名登录：在 /etc/vsftpd.conf 中设置 anonymous_enable=NO。FTP 有两种数据通道建立方式：主动模式由服务器使用 20/tcp 主动连接客户端高位端口；被动模式由服务器在被动端口范围内开放端口，等待客户端连接。多数 NAT/云环境更适配被动模式，便于穿越防火墙与负载均衡。

二 使用 UFW 放行 FTP 端口

• 启用 UFW：sudo ufw enable（如通过 SSH 管理，务必先允许 SSH：sudo ufw allow 22/tcp）。
• 放行控制连接：sudo ufw allow 21/tcp。
• 放行被动模式端口范围（示例为 30000:31000/tcp，可按需调整）：sudo ufw allow 30000:31000/tcp。
• 可选：若需使用显式 FTPS，放行控制端口 990/tcp（数据通道由 TLS 协商，通常复用已开放的被动端口范围）。
• 使配置生效：sudo ufw reload；核对规则：sudo ufw status verbose。

三 使用 iptables 放行 FTP 端口

• 放行控制与数据端口：sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT；sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT。
• 放行被动端口范围（示例 1024:1048/tcp）：sudo iptables -A INPUT -p tcp --dport 1024:1048 -j ACCEPT。
• 持久化规则（Debian/Ubuntu 常用）：sudo apt-get install iptables-persistent；sudo netfilter-persistent save（规则将写入 /etc/iptables/rules.v4 等）。
• 查看规则：sudo iptables -L -n -v。

四 与 vsftpd 配置保持一致

• 启用并限制被动端口范围（示例 30000–31000）：在 /etc/vsftpd.conf 中设置 pasv_enable=YES、pasv_min_port=30000、pasv_max_port=31000；如启用 chroot 且需可写，设置 allow_writeable_chroot=YES；保存后重启：sudo systemctl restart vsftpd。
• 启用 SSL/TLS（FTPS）：生成证书（示例）openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem；在 vsftpd.conf 中启用 ssl_enable=YES、rsa_cert_file、rsa_private_key_file，并可设置 force_local_data_ssl=YES、force_local_logins_ssl=YES；重启服务生效。

五 验证与常见问题

• 连通性验证：从客户端（如 FileZilla）连接，模式选择“被动”，端口填写 21（显式 FTPS 使用 990）；上传/下载测试应正常。
• 常见问题与排查要点：
  • 被动模式失败：核对防火墙已放行与 vsftpd.conf 中一致的被动端口范围（如 30000:31000），并确认云安全组/边界防火墙同步放行。
  • 主动模式不通：需确保客户端侧防火墙允许服务器 20/tcp 出站连接到客户端高位端口；在 NAT/严格边界策略下更推荐使用被动模式。
  • 规则未生效：执行 sudo ufw reload 或重启防火墙/系统；iptables 规则未持久化请安装并保存 iptables-persistent。
  • 安全性建议：优先使用 FTPS（端口 990 控制通道），限制被动端口范围，禁用匿名登录，按需仅开放必要端口。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！