Plesk服务器为ProFTPd 配置被动端口范围?
更新时间: 2023-07-03 11:19:47
适用版本:
Plesk for Linux
如何在后置于防火墙的服务器上为ProFTPd 配置被动端口范围?
我们可在文件/etc/proftpd.conf中使用PassivePorts指令来指定被动端口范围。
1. 通过SSH方式连接Plesk服务器。
2. 在任何文本编辑器中打开文件/etc/proftpd.conf,如下将下面的内容放置Global部分:
...
...
PassivePorts 57000 58000
3. 如果需要,同时也在 /etc/proftpd.d/* 文件中指定端口。我们可以参阅ProFTPd文档了解更多有关PassivePorts指令的信息。
4. 接下来,需将ip_conntrack_ftp模块加载到系统中:
# /sbin/modprobe ip_conntrack_ftp
# lsmod | grep conntrack_ftp
nf_conntrack_ftp 13696 0
nf_conntrack 61684 1 nf_conntrack_ftp
5. 如果安装并开启了Plesk防火墙,请指定端口范围。
或者,确保iptables设置中存有下面一行:
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
6. 如果服务器后置于NAT,需加载ip_nat_ftp模块:
# /sbin/modprobe ip_nat_ftp
如果在CentOS 7上安装了FirewallD,需将NAT模块添加到/etc/modules-load.d/iptables.conf 中
# echo ip_nat_ftp >> /etc/modules-load.d/iptables.conf
# echo ip_conntrack_ftp >> /etc/modules-load.d/iptables.conf
7. 若想要在系统重启后仍保留修改,需如下将各模块添加到/etc/sysconfig/iptables-config 文件中的IPTABLES_MODULES 一行:
# cat /etc/sysconfig/iptables-config | grep IPTABLES_MODULES
IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack ip_nat_ftp"
注意:因为FTP helper模块必须要读取和修改通过命令通道发送的命令,所以命令通道不能使用TLS/SSL加密,要保持畅通。
8. 如果需要为FTP使用TLS/SSL加密,唯一的方式是打开所需的端口并保存iptables规则。需在网络环境下于所有防火墙上打开端口:
# iptables -A INPUT -p tcp --match multiport --dports 57000:58000 -j ACCEPT
# iptables-save
9. 重启xinetd服务以应用修改:
# service xinetd restart
