Eu tenho um servidor web rodando no Centos 6.6. Recentemente, o Config Server Security Firewall me enviou mais de 150 e-mails sobre alguns bots maliciosos tentando adivinhar os usuários e senhas de FTP dos meus clientes. Eu odeio ataques de força bruta e tento mudar minha porta FTP de 21 para ****. Eu configurei meu purefptd.conf
# IP address/port to listen to (default=all IP and port 21).
Bind *** # My New Port Here Without 127.0.0.1
Então eu permiti em meu arquivo de configuração csf nova porta todos TCP_IN, TCP_OUT, UDP_IN, UDP_OUT tanto para IPv4 quanto para IPv6 e adicionei regras de iptables seguindo os recursos
iptables -A INPUT -p tcp --dport newport -j ACCEPT
iptables -A OUTPUT -p tcp --dport newport -j ACCEPT
iptables -A INPUT -p udp --dport newport -j ACCEPT
iptables -A OUTPUT -p udp --dport newport -j ACCEPT
service iptables save
service iptables restart
Após as alterações, reinicio o pureftpd e o csf. Agora, quando estou tentando me conectar ao meu servidor FTP via Filezilla 3.9.0.6, recebo esta resposta.
Response: 227 Entering Passive Mode (*,*,*,*)
Command: MLSD
Error: Connection timed out
Error: Failed to retrieve directory listing
Responder1
Eu mesmo encontrei a resposta. Alterei as linhas de conexão passiva do arquivo pureftp conf como:
# Port range for passive connections replies. - for firewalling.
PassivePortRange 50000 51000
E permitiu isso no arquivo de configuração csf como 50000:51000em
TCP_IN IPv4 e IPv6.
Agora funciona bem.