怎样限制FTP访问IP

限制 FTP 访问 IP 的实用做法

一、前置说明

在动手配置之前，有两点核心建议需要明确。首先，从安全最佳实践出发，“白名单”策略通常优于“黑名单”——即只允许指定的IP或网段访问，其他一概拒绝。这能从根本上缩小攻击面。其次，任何配置变更前，务必做好备份，无论是防火墙规则还是服务配置文件，有备才能无患。

另外，FTP协议的特殊性不容忽视。它分为主动和被动两种模式，控制通道固定使用TCP 21端口。关键在于被动模式：为了建立数据通道，服务器会开放一个临时的端口范围（例如10000到10100）。这意味着，如果你的FTP服务启用了被动模式，除了控制端口，还必须确保防火墙同时放通这个指定的端口范围以及服务器的公网IP地址（通常通过设置pasv_address参数实现）。忽略这一点，很可能导致客户端能登录却无法列出目录或传输文件。

二、方法一：防火墙限制（推荐，简单可靠）

这是最直接、也最常用的一层防护。通过在网络层进行过滤，可以实现对FTP访问的精准控制。以下是几种主流防火墙工具的配置方法。

• 使用 iptables（通用 Linux）

  iptables是Linux上经典的防火墙工具，规则灵活但需要注意顺序。

  • 仅允许单个IP访问（例如：203.0.113.10）：

    sudo iptables -A INPUT -p tcp --dport 21 -s 203.0.113.10 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 21 -j DROP

    第一条规则放行指定IP对21端口的访问，第二条规则则拒绝所有其他来源。规则顺序至关重要，必须确保放行规则在拒绝规则之前生效。

  • 允许一个网段（例如：192.168.1.0/24）：

    sudo iptables -A INPUT -p tcp --dport 21 -s 192.168.1.0/24 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 21 -j DROP

  • 处理被动模式的数据端口：如果启用了被动模式，需要额外放行数据端口范围（例如10000–10100）：

    sudo iptables -A INPUT -p tcp --dport 10000:10100 -j ACCEPT

  • 保存规则（以Debian/Ubuntu为例）：配置完成后，记得将规则持久化，以免重启后丢失。

    sudo iptables-sa ve > /etc/iptables/rules.v4

• 使用 firewalld（CentOS/RHEL/Fedora）

  对于使用firewalld的系统，可以通过富规则（rich rule）来实现同样的目的，操作更为直观。

  sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.0.113.10" port port="21" protocol="tcp" accept'
  sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="21" protocol="tcp" drop'
  sudo firewall-cmd --permanent --add-port=10000-10100/tcp # 放行被动模式端口范围
  sudo firewall-cmd --reload

• 使用 ufw（Ubuntu）

  UFW（Uncomplicated Firewall）以其简洁性著称，配置起来非常方便。

  sudo ufw allow from 203.0.113.10 to any port 21
  sudo ufw deny 21/tcp
  sudo ufw reload

三、方法二：在 FTP 服务内限制（以 vsftpd 为例）

除了网络层的防火墙，我们还可以在FTP服务软件本身进行限制。这里以最常用的vsftpd为例。

• 启用 tcp_wrappers 并用 hosts.allow/hosts.deny 控制

  这是一种经典的主机访问控制方式。

  1. 首先，确保vsftpd支持tcp_wrappers。编辑/etc/vsftpd.conf文件，加入或确认以下行：

     tcp_wrappers=YES

  2. 然后，配置白名单。先在/etc/hosts.deny中拒绝所有，再在/etc/hosts.allow中放行特定IP或网段。

     # /etc/hosts.deny
     vsftpd: ALL
     
     # /etc/hosts.allow
     vsftpd: 203.0.113.10
     # 或允许整个网段
     vsftpd: 192.168.1.0/24

  3. 配置完成后，重启服务使生效：

     sudo systemctl restart vsftpd

• 被动模式端口与公网 IP（如需要）

  如果服务器位于NAT或防火墙之后，并启用被动模式，必须在vsftpd.conf中明确指定公网IP和端口范围。

  pasv_enable=YES
  pasv_address=你的服务器公网IP
  pasv_min_port=10000
  pasv_max_port=10100

  同时，别忘了根据“方法一”的指导，在防火墙中放行pasv_min_port到pasv_max_port这个范围的端口。

四、方法三：进阶与运维建议

将IP限制与用户控制、入侵防护结合，能构建起更立体的安全防线。

• 结合用户级控制

  • 使用 /etc/ftpusers：这个文件用于禁止列出的系统用户登录FTP服务，每行一个用户名。这是一种快速的黑名单方式。

  • 使用 vsftpd 用户列表做精细化控制：通过userlist_file可以实现更灵活的用户访问策略。例如，以下配置意味着只有/etc/vsftpd/user_list文件中的用户才能登录。

    # /etc/vsftpd.conf
    userlist_enable=YES
    userlist_file=/etc/vsftpd/user_list
    userlist_deny=NO # 设置为NO，则user_list成为白名单

• 入侵防护

  单纯的静态限制可能不够，动态防御同样重要。使用fail2ban这类工具可以自动监控日志，封禁多次尝试失败的IP地址。下面是一个针对vsftpd的简单配置示例（添加到/etc/fail2ban/jail.local）：

  [DEFAULT]
  bantime = 600
  findtime = 600
  maxretry = 3
  
  [vsftpd]
  enabled = true
  port = ftp
  filter = vsftpd
  logpath = /var/log/vsftpd.log
  banaction = iptables-multiport

• 安全加固

  在启用SELinux的系统上，可能需要调整策略以允许FTP访问用户家目录等操作。常见的设置如下：

  sudo setsebool -P ftp_home_dir on
  sudo chcon -Rv --type=ftp_home_t /home/用户名

• 验证要点

  配置完成后，验证工作必不可少：

  1. 分别从被允许的IP和被拒绝的IP尝试登录和传输文件，确认访问控制是否生效。
  2. 如果使用了被动模式，务必测试文件列表和传输功能，确保客户端能正常建立数据通道。这意味着防火墙必须正确放行了pasv_min_port到pasv_max_port之间的所有端口。