linux防火墙ftp端口设置

1. linux vsftp 如何更改默认端口及访问

1、选择位于中间的“Customize”按钮，按下ENTER键即可。

2. linux怎么配置ftp服务器

一. FTP 说明

linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol. 还有一个是proftp(Profession ftp)。 我们这里也是简单的说明下vsftp的配置。

vsftp提供3种远程的登录方式：

（1）匿名登录方式

就是不需要用户名，密码。就能登录到服务器电脑里面

（2）本地用户方式

需要帐户名和密码才能登录。而且，这个帐户名和密码，都是在你linux系统里面，已经有的用户。

（3）虚拟用户方式

同样需要用户名和密码才能登录。但是和上面的区别就是，这个用户名和密码，在你linux系统中是没有的(没有该用户帐号)

二. Vsftp的安装配置

2.1 安装

vsftp 的安装包，可以在安装里找到。 用yum 安装过程也很简单。
安装命令：yum install vsftpd

2.2. 相关命令

2.2.1 启动与关闭

[root@singledb ~]# service vsftpd start

Starting vsftpd for vsftpd: [ OK ]

[root@singledb ~]# service vsftpd stop

Shutting down vsftpd: [ OK ]

[root@singledb ~]# service vsftpd restart

Shutting down vsftpd: [FAILED]

Starting vsftpd for vsftpd: [ OK ]

[root@singledb ~]# /etc/init.d/vsftpd start

Starting vsftpd for vsftpd: [FAILED]

[root@singledb ~]# /etc/init.d/vsftpd stop

Shutting down vsftpd: [ OK ]

[root@singledb ~]# /etc/init.d/vsftpd restart

Shutting down vsftpd: [FAILED]

Starting vsftpd for vsftpd: [ OK ]

[root@singledb ~]# /etc/init.d/vsftpd status

vsftpd (pid 3931) is running...

[root@singledb ~]#

2.2.2. 其他命令

--查看vsftpd 启动状态

[root@singledb ~]# chkconfig --list vsftpd

vsftpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off

[root@singledb ~]# chkconfig vsftpd on

[root@singledb ~]# chkconfig --list vsftpd

vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

这里看到，默认情况下从2到5设置为on了。2到5是多用户级别。 这个对应的是linux不同的运行级别。

我们也可以加level 选项来指定：

[root@singledb ~]# chkconfig --level 0 vsftpd on

[root@singledb ~]# chkconfig --list vsftpd

vsftpd 0:on 1:off 2:on 3:on 4:on 5:on 6:off

我们看到0已经设置为on了。

我们可以使用man chkconfig 来查看帮助：

--level levels

Specifies the run levels an operation should pertain to. It is given as a string of numbers from 0 to 7. For example, --level 35 specifies runlevels 3 and 5.

传统的init 定义了7个运行级（run level），每一个级别都代表系统应该补充运行的某些特定服务：

（1）0级是完全关闭系统的级别

（2）1级或者S级代表单用户模式

（3）2-5 级 是多用户级别

（4）6级 是 重新引导的级别

（1）查看防火墙

我一般都是把系统的防火墙关闭了。 因为开了会有很多限制。

[root@singledb ~]# /etc/init.d/iptables status

Table: nat

Chain PREROUTING (policy ACCEPT)

num target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

num target prot opt source destination

1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

Table: filter

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53

3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67

4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67

Chain FORWARD (policy ACCEPT)

num target prot opt source destination

1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED

2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0

3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

You have new mail in /var/spool/mail/root

--添加开放21号端口：

[root@singledb ~]# /sbin/iptables -I INPUT -p tcp --dport 21 -j ACCEPT

[root@singledb ~]# /etc/init.d/iptables status

Table: nat

Chain PREROUTING (policy ACCEPT)

num target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

num target prot opt source destination

1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

Table: filter

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21

2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53

4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67

5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67

Chain FORWARD (policy ACCEPT)

num target prot opt source destination

1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED

2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0

3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

--保存配置

[root@singledb ~]# /etc/rc.d/init.d/iptables save

Saving firewall rules to /etc/sysconfig/iptables: [ OK ]

--重启防火墙：

[root@singledb ~]# service iptables {start|stop|restart}

（2）查看关闭selinux

[root@singledb ~]# sestatus

SELinux status: disabled

我这里在安装操作系统的时候就关闭了selinux，如果没有关闭，可以修改如下文件来关闭：

[root@singledb ~]# cat /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - SELinux is fully disabled.

SELINUX=disabled

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted - Only targeted network daemons are protected.

# strict - Full SELinux protection.

SELINUXTYPE=targeted

[root@singledb ~]#

保存退出并重启系统reboot

三. FTP配置文件

FTP 安装好之后，在/etc/vsftpd/目录下会有如下文件：

[root@singledb ~]# cd /etc/vsftpd/

[root@singledb vsftpd]# ls

ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh

[root@singledb vsftpd]#

vsftpd.conf: 主配置文件

ftpusers: 指定哪些用户不能访问FTP服务器

user_list: 指定的用户是否可以访问ftp服务器由vsftpd.conf文件中的userlist_deny的取值来决定。

[root@singledb vsftpd]# cat user_list

# vsftpd userlist

# If userlist_deny=NO, only allow users in this file

# If userlist_deny=YES (default), never allow users in this file, and

# do not even prompt for a password.

# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers

# for users that are denied.

我们过滤掉#的注释后，查看一下vsftpd.conf 文件：

[root@singledb ftp]# cat /etc/vsftpd/vsftpd.conf |grep -v '^#';

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

pam_service_name=vsftpd

userlist_enable=yes

tcp_wrappers=YES

至于这些参数的意思，在注释里有详细的说明。

我们可以在vsftpd.conf 文件设置如下参数：

（1）ftpd_banner=welcome to ftp service ：设置连接服务器后的欢迎信息

（2）idle_session_timeout=60 ：限制远程的客户机连接后，所建立的控制连接，在多长时间没有做任何的操作就会中断(秒)

（3）data_connection_timeout=120 ：设置客户机在进行数据传输时,设置空闲的数据中断时间

（4）accept_timeout=60 设置在多长时间后自动建立连接

（5）connect_timeout=60 设置数据连接的最大激活时间，多长时间断开，为别人所使用;

（6）max_clients=200 指明服务器总的客户并发连接数为200

（7）max_per_ip=3 指明每个客户机的最大连接数为3

（8）local_max_rate=50000(50kbytes/sec) 本地用户最大传输速率限制

（9）anon_max_rate=30000匿名用户的最大传输速率限制

（10）pasv_min_port=端口

（11）pasv-max-prot=端口号 定义最大与最小端口，为0表示任意端口;为客户端连接指明端口;

（12）listen_address=IP地址 设置ftp服务来监听的地址，客户端可以用哪个地址来连接;

（13）listen_port=端口号 设置FTP工作的端口号，默认的为21

（14）chroot_local_user=YES 设置所有的本地用户可以chroot

（15）chroot_local_user=NO 设置指定用户能够chroot

（16）chroot_list_enable=YES

（17）chroot_list_file=/etc/vsftpd/chroot_list(只有/etc/vsftpd/chroot_list中的指定的用户才能执行 )

（18）local_root=path 无论哪个用户都能登录的用户，定义登录帐号的主目录, 若没有指定，则每一个用户则进入到个人用户主目录;

（19）chroot_local_user=yes/no 是否锁定本地系统帐号用户主目录(所有);锁定后，用户只能访问用户的主目录/home/user,不能利用cd命令向上转;只能向下;

（20）chroot_list_enable=yes/no 锁定指定文件中用户的主目录(部分),文件：/chroot_list_file=path 中指定;

（21）userlist_enable=YES/NO 是否加载用户列表文件;

（22）userlist_deny=YES 表示上面所加载的用户是否允许拒绝登录;

（23）userlist_file=/etc/vsftpd/user_list 列表文件

限制IP 访问FTP:

#vi /etc/hosts.allow

vsftpd:192.168.5.128:DENY 设置该IP地址不可以访问ftp服务

FTP 访问时间限制：

#cp /usr/share/doc/vsftpd-1.1.3/vsftpd.xinetd /etc/xinetd.d/vsftpd

#vi /etc/xinetd.d/vsftpd/

修改 disable = no

access_time = hour:min-hour:min (添加配置访问的时间限制(注：与vsftpd.conf中listen=NO相对应)

例: access_time = 8:30-11:30 17:30-21:30 表示只有这两个时间段可以访问ftp

ftp的配置基本上只有这些了。

默认情况下，ftp根目录是/var/ftp。 如果要修改这个目录位置，可以更改/etc/passwd 文件：

[root@singledb ftp]# cat /etc/passwd | grep ftp

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

创建一个用户来访问FTP,并指定该用户的FTP 目录：

[root@singledb u02]# useradd -d /u02/qsftp qs

[root@singledb u02]# passwd qs

Changing password for user qs.

New UNIX password:

BAD PASSWORD: it is WAY too short

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

这里指定的是/u02/qsftp 这个目录，要注意个目录的权限。

更改用户不能telnet，只能ftp：

usermod -s /sbin/nologin username //用户只能ftp，不能telnet

usermod -s /sbin/bash username //用户恢复正常

禁止用户ssh登陆

useradd username -s /bin/false

更改用户主目录：

usermod -d /bbb username //把用户的主目录定为/bbb

然后用qs这个用户就可以访问了。

以上只是一些简单的设置。 在用户权限这块还有很多内容可以研究。 比如特定用户的特定权限。 安全性等。 以后在研究了。

3. 如何使FTP服务器安全

一、操作系统的选择

FTP服务器首先是基于操作系统而运作的，因而操作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98／Me一样可以架设FTP服务器，但由于其本身的安全性就不强，易受攻击，因而不要采用。Windows NT就像鸡肋，不用也罢。采用Windows 2000及以上版本，并记住及时打上补丁。至于Unix、Linux，则不在讨论之列。

二、使用防火墙

端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口，将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多，可以使用第三方的个人防火墙，如天网个人防火墙等，这里只介绍Windows自带的防火墙设置方法。

1。利用TCP／IP筛选功能

在消运Windows 2000和Windows XP中，系统都带有TCP／IP筛选功能，利用它可以简单地进行端口设置。以Windows XP为例，打开“本地连接”的属性，在“常规”选项中找到“Internet协议（TCP／IP）”，双击它打开该协议的属性设置窗口。点击右下方的“高级”卜桥厅按钮，进入“高级TCP／IP设置”。在“选项”中选中“TCP／IP筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口，假如架设的FTP服务器端口为21，先选中“启用TCP／IP筛选（所有适配器）”，再在TCP端口选项中选择“只允许”，点“添加”，输入端口号21，确定即可。这样，系统就只允许打开21端口。要开放其他端口，继续添加即可。这可以有效防止最常见的139端口入侵。缺点是功能过于简单，只能设置允许开放的端口，不能自定义要关闭的端口。如果你有大量端口要开放，就得一个个地去手工添加，比较麻烦。

2。打开Internet连接防火墙

对于Windows XP系统，自型隐带了“Internet连接防火墙”功能，与TCP／IP筛选功能相比，设置更方便，功能更强大。除了自带防火墙端口开放规则外，还可以自行增删。在控制面板中打开“网络连接”，右击拨号连接，进入“高级”选项卡，选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”，启用它。系统默认状态下是关闭了FTP端口的，因而还要设置防火墙，打开所使用的FTP端口。点击右下角的“设置”按钮进入“高级设置”，选中“FTP服务器”，我它。由于FTP服务默认端口是21，因而除了IP地址一栏外，其余均不可更改。在IP地址一栏中填入服务器公网IP，确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口，比如22，则可以在“服务”选项卡下方点“添加”，输入服务器名称和公网IP后，将外部端口号和内部端口号均填入22即可。

三、对IIS、Serv－U等服务器软件进行设置

除了依靠系统提供的安全措施外，就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。

1。IIS的安全性设置

1）及时安装新补丁

对于IIS的安全性漏洞，可以说是“有口皆碑”了，平均每两三个月就要出一两个漏洞。所幸的是，微软会根据新发现的漏洞提供相应的补丁，这就需要你不断更新，安装最新补丁。

2）将安装目录设置到非系统盘，关闭不需要的服务

一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。另外，由于IIS是一个综合性服务组件，每开设一个服务都将会降低整个服务的安全性，因而，对不需要的服务尽量不要安装或启动。

3）只允许匿名连接

FTP的安全漏洞在于其默认传输密码的过程是明文传送，很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的，因而很容易泄漏系统账户名及密码，如果该账户拥有一定管理权限，则更会影响到整个系统的安全。设置为“只允许匿名连接”，可以免却传输过程中泄密的危险。进入“默认FTP站点”，在属性的“安全账户”选项卡中，将此选项选中。

4）谨慎设置主目录及其权限

IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录，但在局域网中，共享目录很容易招致其他计算机感染的病毒攻击，严重时甚至会造成整个局域网瘫痪，不到万不得已，使用本地目录并将主目录设为NTFS格式的非系统分区中。这样，在对目录的权限设置时，可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录，进入“共享和安全→安全”中设置，如非必要，不要授予“写入”权限。

5）尽量不要使用默认端口号21

启用日志记录，以备出现异常情况时查询原因。

2。Serv－U的安全性设置

与IIS的FTP服务相比，Serv－U在安全性方面做得比较好。

1）对“本地服务器”进行设置

首先，选中“拦截FTP＿bounce攻击和FXP”。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个“PORT”命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

其次，在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向hash函数（MD5）加密用户口令，加密后的口令保存在ServUDaemon。ini或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中：“启用安全”将启动Serv－U服务器的安全成功。

2）对域中的服务器进行设置

前面说过，FTP默认为明文传送密码，

容易被人嗅探，对于只拥有一般权限的账户，危险并不大，但如果该账户拥有远程管理尤其是系统管理员权限，则整个服务器都会被别人远程控制。Serv－U对每个账户的密码都提供了以下三种安全类型：规则密码、OTP S／KEY MD4和OTP S／KEY MD5。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。注意，当用户凭此账户登录服务器时，需要FTP客户端软件支持此密码类型，如CuteFTP Pro等，输入密码时选择相应的密码类型方可通过服务器验证。

与IIS一样，还要谨慎设置主目录及其权限，凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。最后，进入“设置”，在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。

4. Linux下防火墙规则开放ftp端口的问题

setup,进入设置，然后选择firewall，开放21端口就可以了，有的时候selinux也组织防火墙。

5. linux ftp端口怎么设置

# 匿名用户配置
anonymous_enable=YES # 是否允许匿名ftp,如否则选择NO
anon_upload_enable=YES # 匿名用户是否能上传
anon_mkdir_write_enable=YES # 匿名用户是否能创建目录
anon_other_write_enable=YES # 修改文件名和删除文件

# 本地用户配置
local_enable=YES # 是否允许本地用户登录
local_umask=022 # umask 默认755
write_enable=YES
chroot_local_user=YES # 本地用户禁锢在宿主目录中

chroot_list_enable=YES # 是否将系统用户限止在自己的home目录下
chroot_list_file=/etc/vsftpd.chroot_list # 列出的是不chroot的用户的列表

chown_upload=YES # 是否简态改变上传文件的属主
chown_username=username # 如果是需要输入一个系统用户名

userlist_enable=YES
userlist_deny=NO

deny_email_enable=YES # 是否允许禁止匿名用户使用某些邮件地址
banned_email_file=/etc/vsftpd.banned_emails # 禁止邮件地址的文件路径

ftpd_banner=Welcome to chenlf FTP service. # 定制欢迎信息
dirmessage_enable=YES # 是否显示目录说明文件, 需要收工创建.message文件
message_file= # 设置访问一个目录时获得的目录信孝禅息文件的文件名,默认是.message

xferlog_enable=YES # 是否记录ftp传输过程
xferlog_file=/var/log/vsftpd.log # ftp传输日志的路径和名字
xferlog_std_format=YES # 是否使用标准的ftp xferlog模拦慎源式

ascii_upload_enable=YES # 是否使用ascii码方式上传文件
ascii_download_enable=YES # 是否使用ascii码方式下载文件

connect_from_port_20=YES # 是否确信端口传输来自20(ftp-data)

nopriv_user=ftpsecure # 运行vsftpd需要的非特权系统用户默认是nobody

async_abor_enable=YES # 是否允许运行特殊的ftp命令async ABOR.

# FTP服务器的资源限制

idle_session_timeout=600 # 设置session超时时间
data_connection_timeout=120 # 设置数据传输超时时间

max_clients=50 # 用户最大连接数 默认是0不限止
max_per_ip=5 # 每个IP地址最大连接数

anon_max_rate=102400 # 匿名的下载速度 KB
local_max_rate=102400 # 普通用户的下载速度 KB

6. 如何在 Linux 系统中如何更改 SFTP 端口

SFTP（SSH文件传输协议）是一种安全文件协议，用于通过加密连接在两个主机之间传输文件。 它还允许您对远程文件执行各种文件操作并恢复文件传输。

SFTP可以替代旧版FTP协议。 它具有FTP的所有功能，但连接更加安全。

本文介绍了如何在Linux中更改默认的SFTP端口。 我们还将向您展示如何配置防火墙以允许在新端口上使用。

SFTP是SSH的子系统，并提供与SSH相同级别的安全性。

默认的SFTP端口为22。

更改默认的 SFTP / SSH 端口可以降低自动攻击的风险，从而为服务器增加一层额外的安全保护。

下面的步骤详细讲解了如何更改SFTP默认端口：

在Linux中，低于1024的端口号是为知名服务保留的，只能由root绑定。 尽管可以将1-1024范围内的端口用于SSH服务以避免端口分配问题，但建议选择1024以上的端口。

本示例说明如何将SFTP/SSH端口更改为2222，但是您可以选择自己喜欢的任何端口。

更改SFTP / SSH端口之前，您需要在防火墙中打开新端口。

如果您正在使用UFW（Ubuntu中的默认防火墙），请运行以下命令以打开端口：

在 CentOS 中，默认的防火墙管理工具是 FirewallD 。 要打开端口，请输入以下命令：

CentOS用户还需要调整SELinux规则以允许新的SSH端口：

如果您使用的是另一个运行 iptables 的 Linux发行版 ，请打开新的端口运行：

SSH服务器配置存储在 /etc/ssh/sshd_config 文件中。 使用文本编辑器打开文件：

搜索以端口22开头的行。通常，该行使用井号（＃）注释掉。 删除哈希号，然后输入新的SSH端口号：

编辑配置文件时要非常小心。 错误的配置可能会阻止SSH服务启动。

完成后，保存文件并重新启动SSH服务以使更改生效：

在CentOS中，SSH服务名为sshd：

验证SSH守护程序正在侦听新端口：

ss -an | grep 2222

输出应如下所示：

要指定端口号，请使用 -P 选项调用 sftp 命令 ，后跟新的端口号：

如果使用的是GUI SFTP客户端，只需在客户端界面中输入新端口。

默认的SFTP端口为22。但是，您可以将端口更改为所需的任何数字。

如果您定期连接到多个系统，则可以通过在SSH配置文件中定义所有连接来简化工作流程。

如有任何疑问，请随时发表评论。