如何使用防火墙保护CentOS FTP Server

使用防火墙保护CentOS FTP Server的核心步骤如下（基于firewalld）：

1. 安装并启动firewalld

   sudo yum install firewalld sudo systemctl start firewalld sudo systemctl enable firewalld 

2. 开放FTP核心端口

   • 控制端口（主动模式）：21端口

     sudo firewall-cmd --permanent --add-port=21/tcp 

   • 数据端口（主动模式）：默认20端口（需在FTP配置中启用）

     sudo firewall-cmd --permanent --add-port=20/tcp 

   • 被动模式端口范围：需在FTP配置文件（/etc/vsftpd/vsftpd.conf）中设置pasv_min_port和pasv_max_port（如50000-50010），然后在防火墙中开放该范围：

     sudo firewall-cmd --permanent --add-port=50000-50010/tcp 

3. 重新加载防火墙规则

   sudo firewall-cmd --reload 

4. 验证端口开放

   sudo firewall-cmd --list-all 

5. 可选：配置SELinux（若启用）

   • 允许FTP访问用户目录：

     sudo setsebool -P ftp_home_dir on sudo setsebool -P allow_ftpd_full_access on 

   • 为FTP目录设置正确上下文（如/var/ftp）：

     sudo chcon -Rv --type=public_content_t /var/ftp 

安全增强建议：

• 仅开放必要端口，避免使用默认的20端口（可改用被动模式+自定义端口范围）。
• 启用FTP over TLS（FTPS）加密传输。
• 定期检查防火墙规则和FTP服务日志，及时关闭异常端口。

参考来源：