在 Amazon EC2 上为被动 FTPS 打开端口?

在 Amazon EC2 上为被动 FTPS 打开端口?

我已经在运行 Amazon Linux 的 Amazon EC2 上安装了 ProFTPd。

我已为 ProFTPd 启用 SSL(FTPS)并设置了被动端口proftpd.conf

port                         21

<IfModule mod_tls.c>
  TLSEngine                  on
  TLSLog                     /var/log/proftpd/tls.log
  TLSProtocol TLSv1.2
  TLSCipherSuite AES128+EECDH:AES128+EDH
  TLSOptions                 NoCertRequest AllowClientRenegotiations
  TLSRSACertificateFile      /etc/proftpd/ssl/proftpd.cert.pem
  TLSRSACertificateKeyFile   /etc/proftpd/ssl/proftpd.key.pem
  TLSVerifyClient            off
  TLSRequired                on
  RequireValidShell          no
</IfModule>

MasqueradeAddress            ip-of-my-server
PassivePorts                 60000 65535

如果我打开与此实例关联的安全组上的 TCP 端口 60000 到 65535,用户可以通过端口 21 进行连接,但我觉得这不安全(我不熟悉被动 FTP 或打开这样的端口范围)。我们将所有将在端口 21 上连接到此服务器的客户的 IP 列入白名单。

问题

  1. 有没有办法打开这些被动端口而不在 AWS 安全组中打开它们,也许可以使用 EC2 服务器上的 ip 配置,就像本文中那样(http://www.proftpd.org/docs/howto/NAT.html)?我不熟悉这些类型的配置,并且不确定在这里该做什么。

  2. 由于用户无法通过其 IP 白名单中的端口 21 连接到 FTPS 服务器,因此是否可以向 AWS 安全组内的所有 IP 开放 TCP 端口 60000-65535?我在这里应该注意哪些安全问题?

  3. 还有其他“最佳实践”方法来配置这个吗?

相关内容