Linux FTP防火墙配置及被动模式使用 (linux ftp 防火墙 被动模式)

摘要：

FTP是一个用于在客户端和服务器之间传输文件的协议。为了保证FTP传输的安全性，需要对其进行防火墙配置。本文将介绍如何在Linux系统下进行FTP防火墙配置，并探讨FTP被动模式的使用。

关键词：

Linux，FTP，防火墙配置，被动模式。

引言：

随着互联网的发展，文件传输已经成为了日常工作中不可或缺的一部分。FTP协议在文件传输中发挥着重要作用，它基于客户端和服务器之间的传输，可以快速、可靠地传递文件。然而，由于FTP协议的特殊性质，它也经常面临安全问题。因此，在Linux系统中，需要对FTP协议进行防火墙配置，以保证传输的安全和可靠性。

一、FTP防火墙配置

为了保证FTP传输的安全性，可以采用防火墙配置的方法。Linux系统下的防火墙配置通常采用iptables命令进行配置。在FTP传输过程中，需要对以下三个端口进行保护：

1. FTP控制连接端口（默认为21）：用于建立FTP连接、传输命令等。

2. FTP数据连接端口（默认为20）：用于在控制连接建立的基础上进行文件传输。

3. 被动模式数据连接端口：用于在被动模式下建立数据连接。

在进行防火墙配置时，可以使用如下的iptables命令：

# iptables -A INPUT -p tcp –dport 21 -j ACCEPT

# iptables -A OUTPUT -p tcp –sport 21 -j ACCEPT

# iptables -A INPUT -p tcp –dport 20 -j ACCEPT

# iptables -A OUTPUT -p tcp –sport 20 -j ACCEPT

# iptables -A INPUT -p tcp –dport 1024:65535 –sport 1024:65535 -m state –state ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -p tcp –dport 1024:65535 –sport 1024:65535 -m state –state ESTABLISHED -j ACCEPT

以上命令分别开放了FTP控制连接端口、FTP数据连接端口以及被动模式数据连接端口。其中，第三个命令开放了1024~65535范围内的TCP端口，以满足被动模式下的数据传输需要。此外，为了保证安全，建议在防火墙中也需要禁用FTP明文传输。

二、FTP被动模式使用

FTP使用主动模式或被动模式进行数据连接。在主动模式下，FTP服务器会开启一个由FTP服务器发起的数据连接（即服务器主动连接客户端），这在防火墙中很容易被识别和控制，并且很容易遭到攻击。而在被动模式中，FTP服务器被动等待客户端发起数据连接。这种方式相对安全，可以更好地与防火墙配合使用。

要使用FTP被动模式，需要在FTP服务器的配置文件中进行设置。在vsftpd服务器中，可以通过向其配置文件中添加以下信息来设置被动模式：

pasv_enable=YES

pasv_min_port=40000

pasv_max_port=50000

以上配置中，pasv_enable表示启用被动模式，pasv_min_port和pasv_max_port表示被动模式下开放的数据连接端口范围。这个范围必须与防火墙设置一致，以允许数据传输。在配置完成后，重启FTP服务器，然后即可使用FTP被动模式进行数据传输。

三、结论

FTP协议在文件传输中占据着重要地位，但它也因其特殊性质而面临安全问题。为了保证FTP传输的安全和可靠性，需要在Linux系统下进行防火墙配置和FTP被动模式的使用。在进行防火墙配置时，需要开放控制连接端口、数据连接端口和被动模式数据连接端口，同时也需要禁用FTP明文传输。在使用FTP被动模式时，需要在FTP服务器的配置文件中进行相应设置，并在防火墙中允许被动模式下的数据传输。

相关问题拓展阅读：

• redhatftp配置被动模式
• FTP主动模式和被动模式！
• ftp服务器的被动模式怎么开启

redhatftp配置被动模式

1、咐闹首先客户端登陆redhat，从任意的非注明端口连接FTP服务器的命令端口，服务器收到该连接后回复ACK。

2、拍饥其次服务器本地开启一个任意的非注明端口发送命令给客户端，让客户端连接服务器的这个非注明端口从而进行数据传袭简返输。

3、最后连接建立完成，即可完成被动模式的配置。

FTP主动模式和被动模式！

FTP（File Transfer Protocol，

文件传输协议

） 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分，其一为

FTP服务器

，其二为FTP客户端。其中FTP服务器用来存储文件，用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候，通常利用FTP协议把网页或程序传到Web服务器上。此外，由于FTP传输效率非常高，在网络上传输大的文件时，一般也采用该协议。

默认情况下FTP协议使用TCP端口中的 20 和 21 这两个端口，其中20用于传输数据，21用于传输控制信息。但是，是否使用20作为传输数据的端口与FTP使用的传输模式有关，如果采用主动模式，那么数据传输端口就是20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。

FTP支持两种模式，它在工作运行时也主要是这两种模式，一种模式叫作Standard也被称为PORT方式和 主动方式 ，另一种模式叫作Passive也叫作PASV， 被动方式 。Standard模式FTP的客户端发出PORT命令到服务器，Passive模式FTP的客户端发送PASV命令到FTP Server中，从而保证文件相互传输正常。

我们使用华为的

模拟器

Ensp来做一个小实验。

FTP

三次握手

有两次，之一次的TCP三次握手是控制层的握手，第二次是数据层的TCP三次握手

（1）服务器打开端口 21，等待连接；

（2）客户端（100.1.12.1）发起控制连接的建立请求，服务器响应连接，控制连接建立，使用TCP 三次握手（之一次TCP三次握手）;

随机端口的计算

可以看到PORT为 10,0,0,2,8,6

随机端口计算为: 8*256+6=2023

（3）客户端通过控制连接发送 PORT 命令（在

应用层

数据中带有自己的 ip 地址和临时端口），将客户端数据连接的临时

端口号

告诉服务器

（4）服务器的 20 号端口与客户端建立起数据连接，使用TCP 三次握手（第二次TCP三次握手）;

点击登出后控制端口断开连接

FTP三次握手有两次，之一次的TCP三次握手是控制层的握手，第二次是数据层的TCP三次握手

（1）服务器打开端口 21，等待连接

（2）客户端发起控制连接的建立请求，服务器响应连接，控制连接建立，使用TCP 三次握手（之一次TCP三次握手）；

（3）客户端通过控制连接发送命令字 PASV，告知服务器处于被动模式；

（4）服务器回应，将服务器数据连接的临时端口号（2023）告诉客户端；

（5）客户端与服务器的临时端口建立起数据连接，使用TCP 三次握手（第二次TCP三次握手）;

ftp服务器的被动模式怎么开启

设置里面有的，不知道你用的是什么ftp软件

vsftp设置：pasv_enable=YES

pasv_min_port=50000

pasv_max_port=50010

local_max_rate=proftpd： PassivePorts linux下隐枯闷灶弯ftp很多败伏种，不一样的

关于linux ftp 防火墙 被动模式的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。

香港服务器首选树叶云，2H2G首月10元开通。
树叶云（shuyeidc.com）提供简单好用，价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。