Debian SFTP如何防火墙设置
导读:Debian SFTP 防火墙设置 一 核心要点 SFTP 基于 SSH,使用 TCP 22 端口;因此防火墙只需放行 SSH 即可,无需再开放 21 端口或 FTP 被动端口范围。若你同时运行 FTP 服务(如 vsftpd),那套端口...
Debian SFTP 防火墙设置
一 核心要点
- SFTP 基于 SSH,使用 TCP 22 端口;因此防火墙只需放行 SSH 即可,无需再开放 21 端口或 FTP 被动端口范围。若你同时运行 FTP 服务(如 vsftpd),那套端口与 SFTP 无关。
- 在 Debian 上通常使用 UFW 或 iptables/nftables 管理防火墙;两者择一使用,避免规则冲突。
二 使用 UFW 放行 SFTP
- 允许 SSH(即 SFTP)访问:
- 允许全网:
sudo ufw allow ssh - 仅限指定来源(推荐):
sudo ufw allow from < 你的IP或网段> to any port 22 proto tcp
- 允许全网:
- 启用并生效:
sudo ufw enable - 验证:
sudo ufw status verbose - 修改端口时(例如在
/etc/ssh/sshd_config中将 Port 改为 2222),需同步放行新端口:sudo ufw allow 2222/tcp。
三 使用 iptables 放行 SFTP
- 放行 SSH 端口(以 22 为例):
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
- 保存与持久化(Debian 常用做法):
- 保存当前规则:
sudo iptables-save > /etc/iptables/rules.v4 - 开机恢复:创建
/etc/network/if-pre-up.d/iptables并写入
赋权:#!/bin/sh /sbin/iptables-restore < /etc/iptables/rules.v4sudo chmod +x /etc/network/if-pre-up.d/iptables
- 保存当前规则:
- 如需限制来源,将第一条规则改为:
-s < 你的IP或网段>。
四 安全加固建议
- 限制来源 IP:在防火墙仅允许可信 IP/网段 访问 22 端口。
- 禁用密码登录、仅用密钥:在
/etc/ssh/sshd_config设置PasswordAuthentication no,并分发公钥。 - 安装并启用 Fail2Ban:自动封禁多次失败登录的 IP。
- 修改默认端口并配合防火墙限制:将 Port 改为非默认端口(如 2222),仅对受控来源放行。
- 日志与审计:定期检查 /var/log/auth.log,关注异常登录与暴力尝试。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Debian SFTP如何防火墙设置
本文地址: https://pptw.com/jishu/788489.html