ftp防火墙配置文件

1. 如何为被动模式ftp服务器配置Windows防火墙 详细�0�3

通过打开到 TCP 端口号 21 的“命令通道”连接，标准模式 FTP 客户端会启动到服务器的会话。客户端通过将 PORT 命令发送到服务器请求文件传输。然后，服务器会尝试启动返回到 TCP 端口号 20 上客户端的“数据通道”连接。客户端上运行的典型防火墙将来自服务器的此数据通道连接请求视为未经请求，并会丢弃数据包，从而导致文件传输失败。 Windows Vista 和 Windows Server 2008 中的 高级安全 Windows 防火墙 支持有状态 FTP ，该 FTP 允许将端口 20 上的入站连接请求与来自客户端的先前出站 PORT 命令相匹配。但是，如果您通过 SSL 使用 FTP 来加密和保护 FTP 通信，则防火墙不再能够检查来自服务器的入站连接请求，并且这些请求会被阻止。 为了避免此问题， FTP 还支持“被动”操作模式，客户端在该模式下启动数据通道连接。客户端未使用 PORT 命令，而是在命令通道上发送 PASV 命令。服务器使用 TCP 端口号进行响应，客户端应连接到该端口号来建立数据通道。默认情况下，服务器使用极短范围（ 1025 到 5000 ）内的可用端口。为了更好保护服务器的安全，您可以限制 FTP 服务使用的端口范围，然后创建一个防火墙规则：仅在那些允许的端口号上进行 FTP 通信。 本主题将讨论执行以下操作的方法： 1. 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 2. 配置入站防火墙规则以便仅在允许的端口上进行入站 FTP 连接 以下过程显示在 Internet 信息服务 (IIS) 7.0 版上配置 FTP 服务的步骤。如果您使用其他 FTP 服务，请查阅产品文档以找到相应的步骤。配置对 SSL 的支持不在本主题的讨论范围之内。有关详细信息，请参阅 IIS 文档。 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 1. 在 IIS 7.0 管理器中的“连接”窗格中，单击服务器的顶部节点。 2. 在细节窗格中，双击“FTP 防火墙支持”。 3. 输入您希望 FTP 服务使用的端口号的范围。例如，41000-41099 允许服务器同时支持 100 个被动模式数据连接。 4. 输入防火墙的外部 IPv4 地址，数据连接通过该地址到达。 5. 在“操作”窗格中，单击“应用”保存您的设置。 还必须在 FTP 服务器上创建防火墙规则，以在前一过程中配置的端口上允许入站连接。尽管您可以创建按编号指定端口的规则，但是，创建打开 FTP 服务所侦听的任何端口的规则更为容易。通过按前一过程中的步骤操作，您可限制 FTP 侦听的端口。 配置入站防火墙规则以便仅允许到 FTP 所侦听端口的入站 FTP 连接 1. 打开管理员命令提示符。依次单击“开始”、“所有程序”和“附件”，右键单击“命令提示符”，然后单击“以管理员身份运行”。 2. 运行下列命令： 复制代码 netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 3. 最后，禁用有状态 FTP 筛选，以使防火墙不会阻止任何 FTP 通信。 复制代码 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable

2. Windows无法使用HTTP，HTTPS或FTP连接到Internet，这可能由于此计算机上的防火墙设置而导致的。

1、首先右击"网络"图标单击属性。

2、单击windows防火墙"。
3、单击启用或关闭windows防火墙"。
4、选择关闭windows防火墙（推荐），单击确定。

3. 装了ftp服务器，如何设置防火墙

我说的不一定对，供你参考，因我也遇到这个问题，因我用的是win2003自带的防火墙，明明已经开启21端口，并打开防墙就行，关闭就不能访问，百思不得其解。
后来在“防火墙”－－“高级”选项里“FTP”一项上打上钩，就可以。

4. win10 ftp服务器怎么设置防火墙

工具： win10 在Win10系统中搭建ftp服务器 1、打开控制面板，在控制面板窗口中，找到“程序”，点击， 2、在打开的“程序”窗口中，找到“启用或关闭windows功能”，点击打开，如下图所示： 3、在“windows功能”中找到“Internet信息服务”，并选中“FTP服...

5. 如何实现ftp的安全 简易的防火墙tcp

方法一：利用vsftp主配置文件中的tcp_wrappers (简易的防火墙)实现
方法二：利用CA认证实现安全的ftp访问
方法一的实现步骤：
1.主要修改的文件是/etc/hosts.allow /etc/hosts.deny
[root@mail ~]# ldd `which vsftpd`

2.控制实现的效果是只有192.168.1.0网络的能访问，其他的无法访问
[root@mail ~]# man 5 hosts.allow
[root@mail ~]# vim /etc/hosts.allow
vsftpd:192.168.1.0/255.255.255.0:allow (改写的东西)
[root@mail ~]# vim /etc/hosts.deny
vsftpd:all:deny

3.要实现针对于1.1的这个主机不能ftp。其他的都能。
[root@mail ~]# vim /etc/hosts.allow

vsftpd:192.168.1.1:deny
vsftpd:all:allow （添加的东西）
这样就可以实现效果了。这里只改写了allow文件，那个deny文件已经不起作用了，主要是系统先看allow的才看deny的

CA实现ftp的安全
[root@mail Server]# ll wir*
-r--r--r-- 328 root root 94405 2007-01-19 wireless-tools-28-2.el5.i386.rpm
-r--r--r-- 327 root root 24200 2007-01-19 wireless-tools-devel-28-2.el5.i386.rpm
-r--r--r-- 220 root root 11130359 2009-06-11 wireshark-1.0.8-1.el5_3.1.i386.rpm
-r--r--r-- 220 root root 686650 2009-06-11 wireshark-gnome-1.0.8-1.el5_3.1.i386.rpm
[root@mail Server]# yum install wireshark-1.0.8-1.el5_3.1.i386.rpm
[root@mail Server]# tshark -ni eth0 -R "tcp.dstport eq 21" （用于抓包通过这个端口的流量）

[root@mail ftproot]# cd /etc/pki/CA/
[root@mail pki]# vim ./tls/openssl.cnf

[root@mail CA]# touch index.txt serial
[root@mail CA]# mkdir certs newcerts crl
[root@mail pki]# echo "01" >serial
[root@mail CA]# openssl genrsa 1024 >private/cakey.pem
[root@mail CA]# chmod 600 private/*
[root@mail CA]# openssl req -new -key private/cakey.pem -x509 -out cacert.pem

[root@mail pki]# mkdir -pv /etc/vsftpd/certs
[root@mail pki]# mkdir -pv /etc/vsftpd/certs
mkdir: 已创建目录 “/etc/vsftpd/certs”
[root@mail pki]# cd /etc/vsftpd/certs/
[root@mail certs]# openssl genrsa 1024 >vsftpd.key
[root@mail certs]# openssl req -new -key vsftpd.key -out vsftpd.crq
[root@mail certs]# openssl ca -in vsftpd.crq -out vsftpd.cert

[root@mail certs]# ll
总计 12
-rw-r--r-- 1 root root 3061 12-19 03:11 vsftpd.cert
-rw-r--r-- 1 root root 647 12-19 03:10 vsftpd.crq
-rw-r--r-- 1 root root 887 12-19 03:09 vsftpd.key
[root@mail certs]# chmod 600 /etc/pki/CA/certs/*
[root@mail certs]# ll
总计 12
-rw------- 1 root root 3061 12-19 03:11 vsftpd.cert
-rw------- 1 root root 647 12-19 03:10 vsftpd.crq
-rw------- 1 root root 887 12-19 03:09 vsftpd.key
实现服务器与CA的连接
[root@mail certs]# vim /etc/vsftpd/vsftpd.conf
force_local_data_ssl=YES #指定vsftpd强制非匿名用户使用加密的数据传输
force_local_logins_ssl=YES #指定vsftpd强制非匿名用户使用加密登录
ssl_enable=YES #指定vsftpd支持加密协议
ssl_sslv2=YES #指定vsftpd支持安全套接字层v2
ssl_sslv3=YES #指定vsftpd支持安全套接字层v3
ssl_tlsv1=YES #指定vsftpd支持tls加密方式v1
rsa_cert_file=/etc/vsftpd/certs/vsftpd.cert #指定ftp-server的证书路径
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.key #指定ftp-server的私路径

6)只有lftp命令和第三方工具才支持访问ftps。下面以FlashFXP为例讲述如何连接到ftps。
a.打开FlashFXP后，选择"站点"-->"站点管理器"，新建一个站点，

6. 在linux 用vsftpd 架了个ftp 服务器，防火墙怎么设置呀

规则加到前面，iptables的规则是从前往后读的，其中这一条规则-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited就拒绝了不符合以上规则的全部拒绝，你下面在写规则也没用

7. 如何为被动模式FTP服务器配置Windows防火墙

应用到: Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista由于FTP 工作方式所致，在防火墙后的服务器上使用文件传输协议 (FTP) 服务会产生一系列的挑战。通过打开到 TCP 端口号 21 的“命令通道”连接，标准模式 FTP 客户端会启动到服务器的会话。客户端通过将 PORT 命令发送到服务器请求文件传输。然后，服务器会尝试启动返回到 TCP 端口号 20 上客户端的“数据通道”连接。客户端上运行的典型防火墙将来自服务器的此数据通道连接请求视为未经请求，并会丢弃数据包，从而导致文件传输失败。Windows??Vista 和 Windows Server??2008 中的 高级安全 Windows 防火墙 支持有状态 FTP，该 FTP 允许将端口 20 上的入站连接请求与来自客户端的先前出站 PORT 命令相匹配。但是，如果您通过 SSL 使用 FTP 来加密和保护 FTP 通信，则防火墙不再能够检查来自服务器的入站连接请求，并且这些请求会被阻止。为了避免此问题，FTP 还支持“被动”操作模式，客户端在该模式下启动数据通道连接。客户端未使用 PORT 命令，而是在命令通道上发送 PASV 命令。服务器使用 TCP 端口号进行响应，客户端应连接到该端口号来建立数据通道。默认情况下，服务器使用极短范围（1025 到 5000）内的可用端口。为了更好保护服务器的安全，您可以限制 FTP 服务使用的端口范围，然后创建一个防火墙规则：仅在那些允许的端口号上进行 FTP 通信。本主题将讨论执行以下操作的方法： 配置FTP 服务以便仅将有限数量的端口用于被动模式 FTP配置入站防火墙规则以便仅在允许的端口上进行入站 FTP 连接以下过程显示在 Internet 信息服务 (IIS) 7.0 版上配置 FTP 服务的步骤。如果您使用其他 FTP 服务，请查阅产品文档以找到相应的步骤。配置对 SSL 的支持不在本主题的讨论范围之内。有关详细信息，请参阅 IIS 文档。配置FTP 服务以便仅将有限数量的端口用于被动模式 FTP在IIS 7.0 管理器中的“连接”窗格中，单击服务器的顶部节点。在细节窗格中，双击“FTP 防火墙支持”。输入您希望 FTP 服务使用的端口号的范围。例如，41000-41099 允许服务器同时支持 100 个被动模式数据连接。输入防火墙的外部 IPv4 地址，数据连接通过该地址到达。在“操作”窗格中，单击“应用”保存您的设置。还必须在 FTP 服务器上创建防火墙规则，以在前一过程中配置的端口上允许入站连接。尽管您可以创建按编号指定端口的规则，但是，创建打开 FTP 服务所侦听的任何端口的规则更为容易。通过按前一过程中的步骤操作，您可限制 FTP 侦听的端口。配置入站防火墙规则以便仅允许到 FTP 所侦听端口的入站 FTP 连接打开管理员命令提示符。依次单击“开始”、“所有程序”和“附件”，右键单击“命令提示符”，然后单击“以管理员身份运行”。运行下列命令： netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 最后，禁用有状态 FTP 筛选，以使防火墙不会阻止任何 FTP 通信。 netsh advfirewall set global StatefulFTP disable

8. 防火墙怎么配置

在使用防火墙之前，需要对防火墙进行一些必要的初始化配置。出厂配置的防火墙需要根据实际使用场景和组网来配置管理IP、登陆方式、用户名/密码等。下面以我配置的华为USG防火墙为例，说明一下拿到出厂的防火墙之后应该怎么配置。
1. 设备配置连接
一般首次登陆，我们使用的是Console口登陆。只需要使用串口网线连接防火墙和PC，使用串口连接工具即可。从串口登陆到防火墙之后，可以配置用户，密码，登陆方式等。这些配置在后面有记录。
直接使用一根网线连接PC和设备的管理口。管理口是在设备面板上一个写着MGMT的一个网口，一般默认配置了IP，如192.168.0.1/24。我们在对端PC上配置同网段的IP，如192.168.0.10/24，我们就可以通过PC上的telnet客户端登陆到防火墙设备上。
登陆到设备之后，默认是在防火墙的用户视图下。可以使用system-view进入系统视图，interface GigabitEthernet 0/0/0进入接口视图，diagnose进入诊断视图，security-policy进入安全策略视图，firewall zone trust进入trust安全区域视图，aaa进入aaa视图等。
2. Telnet配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用户：
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服务：
telnet server enable
3. FTP配置
在aaa里配置：
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服务：
ftp server enable
4. SFTP配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用户：
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服务：
sftp server enable
配置Password认证方式 ：
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c：
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3：
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用户：
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服务：
web-manager enable
配置完Web之后，其他配置就可以登陆到Web页面进行可视化配置了。

9. FTP服务器的防火墙通用设置规则

此FTP服务器的防火墙通用设置规则适用于Windows(包括服务器版和桌面版)、Linux服务器以及可能的其他操作系统。
在配置好FTP服务器后将发起FTP服务的程序(如Windows的svchost.exe或FileZilla
server.exe)而不仅仅是端口允许通过防火墙，程序(此处特指Windows的svchost.exe)不用带参数。
svchost.exe这个例外，必须通过控制面板中的
“
允许程序通过
Windows
防火墙通信”
，使得
“Windows
服务主进程”
(
svchost.exe
，C:WindowsSystem32svchost.exe
)允许通过防火墙才可以。
FileZilla也是如此，但无需仅使用控制面板中的
“
允许程序通过
Windows
防火墙通信”，而也可以使用“高级安全Windows防火墙”进行设置
。