所以我知道如何设置这一切,并且还有许多其他帖子提供说明。但我有一个更具体的问题:
是否有一个标准端口范围可用于监听被动 FTP 服务器?例如,显然我不想使用 22-1000 之类的端口。除了了解我的机器上正在运行的其他程序外,我如何确定要使用哪些端口?例如,我在这里看到建议的范围是 5000-5010。
另外还有一个附加问题。是否有建议打开的端口数量?Filezilla 仅提供从 0 到 65535 的整个范围,而没有指导(或者我没有找到任何指导)建议使用哪个范围或多少个端口。
答案1
FTP 协议标准
对于未经身份验证的访问,允许通过监听 FTP 服务器上的开放数据通道端口连接到您的 FTP 服务器,具体如下:RFC 959:
-
服务器PI
服务器协议解释器在端口 L 上“监听”来自用户 PI 的连接并建立控制通信连接。它从用户 PI 接收标准 FTP 命令、发送回复并管理服务器 DTP。
这意味着监听的 FTP 服务器需要遵循标准 FTP 服务器协议,因此如果你的 FTP 服务器需要身份验证那么它将只允许在建立用户 PI 身份验证后选择用于数据通道连接的打开的被动端口上的连接。
-
控制连接
USER-PI 和 SERVER-PI 之间用于交换命令和回复的通信路径。此连接遵循 Telnet 协议。
PI
协议解释器。协议的用户端和服务器端在用户 PI 和服务器 PI 中实现不同的角色。
FTP 安全
使用普通的 FTP 进行通信和数据交换是不安全的,因为任何可以读取数据包的人都可以看到你的数据,所以请考虑使用SSH FTP或者FTP SSL在此级别添加加密。
此外,根据RFC 959:
-
该协议要求在数据传输时控制连接保持打开状态
传输正在进行中。用户有责任在使用完 FTP 服务后请求关闭控制连接,而服务器则负责执行该操作。如果控制连接在未发出命令的情况下关闭,服务器可能会中止数据传输。
因此,请确保 FTP 服务器配置了较短的超时时间,这有助于更快地关闭断开的用户会话和数据通道端口。
港口安全
考虑使用高端口范围,例如,40000-45000并将防火墙网络设备规则配置为仅允许该流量进入 FTP 服务器,并将所有数据包通过数据包扫描器进行入侵检测等,以阻止常见的攻击模式等。
如果可能的话,不要使用公共端口,并查看TCP 和 UDP 端口号列表。
确保使用操作系统级防火墙规则进一步锁定 FTP 服务器,以便从 Internet 访问这些端口,禁用不必要的服务,并确保不使用用于侦听此服务器的其他服务的被动范围内的端口。
FileZilla FTP 服务器安全
阅读强化 FileZilla FTP 服务器发布并利用这些安全功能。