我发现通过iptables允许FTP通信的最佳答案是here
下面我使用了以下iptables规则:
iptables -A INPUT -p tcp --dport 20:21 --syn -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 1024: --syn -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
但是它将所有大于或等于1024的端口打开到tcp连接,对于防火墙规则而言,这不是很大。
所有这些端口都是开放的,以允许FTP被动入站流量。
所以我想知道如何安装vsftpd
服务器并保持更严格的防火墙规则。
通过向我的vsftpd
文件中添加以下行,我可以限制vsftpd.conf
用于被动入站流量的端口范围:
pasv_min_port=22200
pasv_max_port=22210
在限制了被动入站流量端口范围之后,我使用了以下iptable规则:
iptables -A INPUT -p tcp --dport 20:21 --syn -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22200:22210 --syn -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT