ftp防火牆配置文件

1. 如何為被動模式ftp伺服器配置Windows防火牆 詳細�0�3

通過打開到 TCP 埠號 21 的「命令通道」連接，標准模式 FTP 客戶端會啟動到伺服器的會話。客戶端通過將 PORT 命令發送到伺服器請求文件傳輸。然後，伺服器會嘗試啟動返回到 TCP 埠號 20 上客戶端的「數據通道」連接。客戶端上運行的典型防火牆將來自伺服器的此數據通道連接請求視為未經請求，並會丟棄數據包，從而導致文件傳輸失敗。 Windows Vista 和 Windows Server 2008 中的 高級安全 Windows 防火牆 支持有狀態 FTP ，該 FTP 允許將埠 20 上的入站連接請求與來自客戶端的先前出站 PORT 命令相匹配。但是，如果您通過 SSL 使用 FTP 來加密和保護 FTP 通信，則防火牆不再能夠檢查來自伺服器的入站連接請求，並且這些請求會被阻止。 為了避免此問題， FTP 還支持「被動」操作模式，客戶端在該模式下啟動數據通道連接。客戶端未使用 PORT 命令，而是在命令通道上發送 PASV 命令。伺服器使用 TCP 埠號進行響應，客戶端應連接到該埠號來建立數據通道。默認情況下，伺服器使用極短范圍（ 1025 到 5000 ）內的可用埠。為了更好保護伺服器的安全，您可以限制 FTP 服務使用的埠范圍，然後創建一個防火牆規則：僅在那些允許的埠號上進行 FTP 通信。 本主題將討論執行以下操作的方法： 1. 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 2. 配置入站防火牆規則以便僅在允許的埠上進行入站 FTP 連接 以下過程顯示在 Internet 信息服務 (IIS) 7.0 版上配置 FTP 服務的步驟。如果您使用其他 FTP 服務，請查閱產品文檔以找到相應的步驟。配置對 SSL 的支持不在本主題的討論范圍之內。有關詳細信息，請參閱 IIS 文檔。 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 1. 在 IIS 7.0 管理器中的「連接」窗格中，單擊伺服器的頂部節點。 2. 在細節窗格中，雙擊「FTP 防火牆支持」。 3. 輸入您希望 FTP 服務使用的埠號的范圍。例如，41000-41099 允許伺服器同時支持 100 個被動模式數據連接。 4. 輸入防火牆的外部 IPv4 地址，數據連接通過該地址到達。 5. 在「操作」窗格中，單擊「應用」保存您的設置。 還必須在 FTP 伺服器上創建防火牆規則，以在前一過程中配置的埠上允許入站連接。盡管您可以創建按編號指定埠的規則，但是，創建打開 FTP 服務所偵聽的任何埠的規則更為容易。通過按前一過程中的步驟操作，您可限制 FTP 偵聽的埠。 配置入站防火牆規則以便僅允許到 FTP 所偵聽埠的入站 FTP 連接 1. 打開管理員命令提示符。依次單擊「開始」、「所有程序」和「附件」，右鍵單擊「命令提示符」，然後單擊「以管理員身份運行」。 2. 運行下列命令： 復制代碼 netsh advfirewall firewall add rule name=」FTP Service」 action=allow service=ftpsvc protocol=TCP dir=in 3. 最後，禁用有狀態 FTP 篩選，以使防火牆不會阻止任何 FTP 通信。 復制代碼 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable

2. Windows無法使用HTTP，HTTPS或FTP連接到Internet，這可能由於此計算機上的防火牆設置而導致的。

1、首先右擊"網路"圖標單擊屬性。

2、單擊windows防火牆"。
3、單擊啟用或關閉windows防火牆"。
4、選擇關閉windows防火牆（推薦），單擊確定。

3. 裝了ftp伺服器，如何設置防火牆

我說的不一定對，供你參考，因我也遇到這個問題，因我用的是win2003自帶的防火牆，明明已經開啟21埠，並打開防牆就行，關閉就不能訪問，百思不得其解。
後來在「防火牆」－－「高級」選項里「FTP」一項上打上鉤，就可以。

4. win10 ftp伺服器怎麼設置防火牆

工具： win10 在Win10系統中搭建ftp伺服器 1、打開控制面板，在控制面板窗口中，找到「程序」，點擊， 2、在打開的「程序」窗口中，找到「啟用或關閉windows功能」，點擊打開，如下圖所示： 3、在「windows功能」中找到「Internet信息服務」，並選中「FTP服...

5. 如何實現ftp的安全 簡易的防火牆tcp

方法一：利用vsftp主配置文件中的tcp_wrappers (簡易的防火牆)實現
方法二：利用CA認證實現安全的ftp訪問
方法一的實現步驟：
1.主要修改的文件是/etc/hosts.allow /etc/hosts.deny
[root@mail ~]# ldd `which vsftpd`

2.控制實現的效果是只有192.168.1.0網路的能訪問，其他的無法訪問
[root@mail ~]# man 5 hosts.allow
[root@mail ~]# vim /etc/hosts.allow
vsftpd:192.168.1.0/255.255.255.0:allow (改寫的東西)
[root@mail ~]# vim /etc/hosts.deny
vsftpd:all:deny

3.要實現針對於1.1的這個主機不能ftp。其他的都能。
[root@mail ~]# vim /etc/hosts.allow

vsftpd:192.168.1.1:deny
vsftpd:all:allow （添加的東西）
這樣就可以實現效果了。這里只改寫了allow文件，那個deny文件已經不起作用了，主要是系統先看allow的才看deny的

CA實現ftp的安全
[root@mail Server]# ll wir*
-r--r--r-- 328 root root 94405 2007-01-19 wireless-tools-28-2.el5.i386.rpm
-r--r--r-- 327 root root 24200 2007-01-19 wireless-tools-devel-28-2.el5.i386.rpm
-r--r--r-- 220 root root 11130359 2009-06-11 wireshark-1.0.8-1.el5_3.1.i386.rpm
-r--r--r-- 220 root root 686650 2009-06-11 wireshark-gnome-1.0.8-1.el5_3.1.i386.rpm
[root@mail Server]# yum install wireshark-1.0.8-1.el5_3.1.i386.rpm
[root@mail Server]# tshark -ni eth0 -R "tcp.dstport eq 21" （用於抓包通過這個埠的流量）

[root@mail ftproot]# cd /etc/pki/CA/
[root@mail pki]# vim ./tls/openssl.cnf

[root@mail CA]# touch index.txt serial
[root@mail CA]# mkdir certs newcerts crl
[root@mail pki]# echo "01" >serial
[root@mail CA]# openssl genrsa 1024 >private/cakey.pem
[root@mail CA]# chmod 600 private/*
[root@mail CA]# openssl req -new -key private/cakey.pem -x509 -out cacert.pem

[root@mail pki]# mkdir -pv /etc/vsftpd/certs
[root@mail pki]# mkdir -pv /etc/vsftpd/certs
mkdir: 已創建目錄 「/etc/vsftpd/certs」
[root@mail pki]# cd /etc/vsftpd/certs/
[root@mail certs]# openssl genrsa 1024 >vsftpd.key
[root@mail certs]# openssl req -new -key vsftpd.key -out vsftpd.crq
[root@mail certs]# openssl ca -in vsftpd.crq -out vsftpd.cert

[root@mail certs]# ll
總計 12
-rw-r--r-- 1 root root 3061 12-19 03:11 vsftpd.cert
-rw-r--r-- 1 root root 647 12-19 03:10 vsftpd.crq
-rw-r--r-- 1 root root 887 12-19 03:09 vsftpd.key
[root@mail certs]# chmod 600 /etc/pki/CA/certs/*
[root@mail certs]# ll
總計 12
-rw------- 1 root root 3061 12-19 03:11 vsftpd.cert
-rw------- 1 root root 647 12-19 03:10 vsftpd.crq
-rw------- 1 root root 887 12-19 03:09 vsftpd.key
實現伺服器與CA的連接
[root@mail certs]# vim /etc/vsftpd/vsftpd.conf
force_local_data_ssl=YES #指定vsftpd強制非匿名用戶使用加密的數據傳輸
force_local_logins_ssl=YES #指定vsftpd強制非匿名用戶使用加密登錄
ssl_enable=YES #指定vsftpd支持加密協議
ssl_sslv2=YES #指定vsftpd支持安全套接字層v2
ssl_sslv3=YES #指定vsftpd支持安全套接字層v3
ssl_tlsv1=YES #指定vsftpd支持tls加密方式v1
rsa_cert_file=/etc/vsftpd/certs/vsftpd.cert #指定ftp-server的證書路徑
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.key #指定ftp-server的私路徑

6)只有lftp命令和第三方工具才支持訪問ftps。下面以FlashFXP為例講述如何連接到ftps。
a.打開FlashFXP後，選擇"站點"-->"站點管理器"，新建一個站點，

6. 在linux 用vsftpd 架了個ftp 伺服器，防火牆怎麼設置呀

規則加到前面，iptables的規則是從前往後讀的，其中這一條規則-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited就拒絕了不符合以上規則的全部拒絕，你下面在寫規則也沒用

7. 如何為被動模式FTP伺服器配置Windows防火牆

應用到: Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista由於FTP 工作方式所致，在防火牆後的伺服器上使用文件傳輸協議 (FTP) 服務會產生一系列的挑戰。通過打開到 TCP 埠號 21 的「命令通道」連接，標准模式 FTP 客戶端會啟動到伺服器的會話。客戶端通過將 PORT 命令發送到伺服器請求文件傳輸。然後，伺服器會嘗試啟動返回到 TCP 埠號 20 上客戶端的「數據通道」連接。客戶端上運行的典型防火牆將來自伺服器的此數據通道連接請求視為未經請求，並會丟棄數據包，從而導致文件傳輸失敗。Windows??Vista 和 Windows Server??2008 中的 高級安全 Windows 防火牆 支持有狀態 FTP，該 FTP 允許將埠 20 上的入站連接請求與來自客戶端的先前出站 PORT 命令相匹配。但是，如果您通過 SSL 使用 FTP 來加密和保護 FTP 通信，則防火牆不再能夠檢查來自伺服器的入站連接請求，並且這些請求會被阻止。為了避免此問題，FTP 還支持「被動」操作模式，客戶端在該模式下啟動數據通道連接。客戶端未使用 PORT 命令，而是在命令通道上發送 PASV 命令。伺服器使用 TCP 埠號進行響應，客戶端應連接到該埠號來建立數據通道。默認情況下，伺服器使用極短范圍（1025 到 5000）內的可用埠。為了更好保護伺服器的安全，您可以限制 FTP 服務使用的埠范圍，然後創建一個防火牆規則：僅在那些允許的埠號上進行 FTP 通信。本主題將討論執行以下操作的方法： 配置FTP 服務以便僅將有限數量的埠用於被動模式 FTP配置入站防火牆規則以便僅在允許的埠上進行入站 FTP 連接以下過程顯示在 Internet 信息服務 (IIS) 7.0 版上配置 FTP 服務的步驟。如果您使用其他 FTP 服務，請查閱產品文檔以找到相應的步驟。配置對 SSL 的支持不在本主題的討論范圍之內。有關詳細信息，請參閱 IIS 文檔。配置FTP 服務以便僅將有限數量的埠用於被動模式 FTP在IIS 7.0 管理器中的「連接」窗格中，單擊伺服器的頂部節點。在細節窗格中，雙擊「FTP 防火牆支持」。輸入您希望 FTP 服務使用的埠號的范圍。例如，41000-41099 允許伺服器同時支持 100 個被動模式數據連接。輸入防火牆的外部 IPv4 地址，數據連接通過該地址到達。在「操作」窗格中，單擊「應用」保存您的設置。還必須在 FTP 伺服器上創建防火牆規則，以在前一過程中配置的埠上允許入站連接。盡管您可以創建按編號指定埠的規則，但是，創建打開 FTP 服務所偵聽的任何埠的規則更為容易。通過按前一過程中的步驟操作，您可限制 FTP 偵聽的埠。配置入站防火牆規則以便僅允許到 FTP 所偵聽埠的入站 FTP 連接打開管理員命令提示符。依次單擊「開始」、「所有程序」和「附件」，右鍵單擊「命令提示符」，然後單擊「以管理員身份運行」。運行下列命令： netsh advfirewall firewall add rule name=」FTP Service」 action=allow service=ftpsvc protocol=TCP dir=in 最後，禁用有狀態 FTP 篩選，以使防火牆不會阻止任何 FTP 通信。 netsh advfirewall set global StatefulFTP disable

8. 防火牆怎麼配置

在使用防火牆之前，需要對防火牆進行一些必要的初始化配置。出廠配置的防火牆需要根據實際使用場景和組網來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火牆為例，說明一下拿到出廠的防火牆之後應該怎麼配置。
1. 設備配置連接
一般首次登陸，我們使用的是Console口登陸。只需要使用串口網線連接防火牆和PC，使用串口連接工具即可。從串口登陸到防火牆之後，可以配置用戶，密碼，登陸方式等。這些配置在後面有記錄。
直接使用一根網線連接PC和設備的管理口。管理口是在設備面板上一個寫著MGMT的一個網口，一般默認配置了IP，如192.168.0.1/24。我們在對端PC上配置同網段的IP，如192.168.0.10/24，我們就可以通過PC上的telnet客戶端登陸到防火牆設備上。
登陸到設備之後，默認是在防火牆的用戶視圖下。可以使用system-view進入系統視圖，interface GigabitEthernet 0/0/0進入介面視圖，diagnose進入診斷視圖，security-policy進入安全策略視圖，firewall zone trust進入trust安全區域視圖，aaa進入aaa視圖等。
2. Telnet配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服務：
telnet server enable
3. FTP配置
在aaa里配置：
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服務：
ftp server enable
4. SFTP配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服務：
sftp server enable
配置Password認證方式 ：
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c：
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3：
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服務：
web-manager enable
配置完Web之後，其他配置就可以登陸到Web頁面進行可視化配置了。

9. FTP伺服器的防火牆通用設置規則

此FTP伺服器的防火牆通用設置規則適用於Windows(包括伺服器版和桌面版)、Linux伺服器以及可能的其他操作系統。
在配置好FTP伺服器後將發起FTP服務的程序(如Windows的svchost.exe或FileZilla
server.exe)而不僅僅是埠允許通過防火牆，程序(此處特指Windows的svchost.exe)不用帶參數。
svchost.exe這個例外，必須通過控制面板中的
“
允許程序通過
Windows
防火牆通信”
，使得
“Windows
服務主進程”
(
svchost.exe
，C:WindowsSystem32svchost.exe
)允許通過防火牆才可以。
FileZilla也是如此，但無需僅使用控制面板中的
“
允許程序通過
Windows
防火牆通信”，而也可以使用“高級安全Windows防火牆”進行設置
。