Debian系統vsftp的防火墻設置

Debian系統配置vsftpd防火墻通常使用ufw（默認工具）或iptables，以下是具體步驟：

一、使用ufw（推薦）

1. 安裝ufw（若未安裝）

   sudo apt update && sudo apt install ufw  
   

2. 啟用ufw

   sudo ufw enable  
   

3. 允許FTP端口
   • 控制連接（默認21端口）：

     sudo ufw allow 21/tcp  
     

   • 數據連接（主動模式20端口、被動模式需指定范圍，如50000-50100）：

     sudo ufw allow 20/tcp  
     sudo ufw allow 50000:50100/tcp  # 需與vsftpd配置的被動端口范圍一致  
     

4. 重新加載規則

   sudo ufw reload  
   

5. 驗證規則

   sudo ufw status  
   

   應看到類似輸出：

   21/tcp                   ALLOW       Anywhere  
   20/tcp                   ALLOW       Anywhere  
   50000:50100/tcp          ALLOW       Anywhere  
   

二、使用iptables

1. 安裝iptables

   sudo apt update && sudo apt install iptables  
   

2. 允許FTP端口

   sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT  # 控制連接  
   sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT  # 數據連接  
   sudo iptables -A INPUT -p tcp --dport 50000:50100 -j ACCEPT  # 被動模式端口范圍  
   sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
   sudo iptables -P INPUT DROP  # 拒絕其他流量  
   

3. 保存規則

   sudo apt install iptables-persistent  
   sudo netfilter-persistent save  
   

4. 驗證規則

   sudo iptables -L -v -n  
   

三、關鍵注意事項

• 被動模式端口：需在/etc/vsftpd.conf中設置pasv_min_port和pasv_max_port（如50000-50100），并與防火墻規則一致。
• 服務重啟：修改配置后需重啟vsftpd：

  sudo systemctl restart vsftpd  
  

• 安全增強：可關閉匿名登錄（anonymous_enable=NO）并限制用戶訪問目錄（chroot_local_user=YES）。

根據實際需求選擇工具，ufw更簡潔，iptables更靈活，均需確保規則在系統重啟后生效。