基本原理与必要性
FTP被动模式下,服务器需要开放指定范围的端口用于数据传输。限制端口数量可提升安全性,避免开放过多高危端口,同时便于防火墙规则管理。当客户端通过控制连接(21端口)发送PASV命令后,服务器将返回预设端口范围内的可用端口。
配置FTP服务器端口范围
主流FTP服务配置方法如下:
- 编辑配置文件:
/etc/vsftpd/vsftpd.conf - 添加参数:
- pasv_enable=YES
- pasv_min_port=10000
- pasv_max_port=10200
- 重启服务:
systemctl restart vsftpd
Windows Server可在防火墙设置中指定被动端口范围(如5000-5100),并通过命令添加防火墙策略。
防火墙策略设置
需在防火墙开放以下端口:
- 控制端口:TCP 21
- 数据端口范围:TCP 10000-10200(需与配置参数一致)
云服务器需在安全组添加相应规则,建议同时保持主动模式端口(20)开放。
测试与验证方法
执行以下验证步骤:
- 使用
netstat -ano检查端口监听状态 - 通过客户端工具连接并观察数据连接端口
- 抓包验证PORT命令返回的端口号是否在限定范围内
通过限定被动模式端口范围,可有效降低安全风险并简化网络管理。建议将端口范围控制在业务实际需要的数量内,同时做好防火墙的双向过滤设置。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/484005.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
