所以我知道如何設置這一切,並且還有許多其他帶有說明的帖子。不過我有一個更具體的問題:
是否有用於偵聽被動 FTP 伺服器的標準連接埠範圍?例如,顯然我不想做 22-1000 之類的。除了了解我的機器上正在運行的其他內容之外,我如何確定要使用哪些連接埠?例如,我在這裡看到建議的範圍為 5000-5010。
還有獎金問題。是否有建議打開的連接埠數量? Filezilla 只是提供從 0 - 65535 的整個範圍,沒有任何指導(或我找不到)建議使用什麼範圍或多少個連接埠。
答案1
FTP協定標準
在未經身份驗證的存取方面,允許透過偵聽 FTP 伺服器上的開放資料通道連接埠連接到 FTP 伺服器,具體如下:RFC 959:
-
伺服器PI
伺服器協定解釋器在連接埠 L 上「監聽」來自使用者 PI 的連接,並建立控制通訊連接。它從使用者 PI 接收標準 FTP 命令、發送回應並管理伺服器 DTP。
這表示偵聽 FTP 伺服器應遵循標準 FTP 伺服器協議,因此如果您的 FTP 伺服器需要身份驗證那麼它只會允許在建立使用者 PI 身份驗證後選擇用於資料通道連接的開啟的被動連接埠上的連線。
-
控制連接
USER-PI 和 SERVER-PI 之間用來交換指令和回覆的通訊路徑。此連線遵循 Telnet 協定。
PI
協議解釋器。協定的用戶端和伺服器端在用戶 PI 和伺服器 PI 中具有不同的角色。
FTP 安全
使用普通 FTP 進行通訊和數據交換是不安全的,因為任何可以讀取資料包的人都可以看到您的數據,因此請考慮使用FTP傳輸協定或者FTP SSL在此層級新增加密。
此外,根據RFC 959:
-
該協定要求在資料傳輸時控制連接打開
轉移正在進行中。使用者有責任在使用完 FTP 服務後請求關閉控制連接,而執行操作的是伺服器。如果控制連線在沒有命令的情況下關閉,伺服器可能會中止資料傳輸。
因此,請確保 FTP 伺服器配置了較短的逾時時間,這應該有助於更快地關閉已中斷的使用者會話和資料通道連接埠。
港口安全
考慮使用高連接埠範圍,例如40000-45000將防火牆網路設備規則配置為僅允許流量進入 FTP 伺服器,並將所有封包透過封包掃描器進行入侵偵測等,以阻止常見的攻擊模式等。
盡可能不要使用公共端口並查看TCP 和 UDP 連接埠號碼列表。
確保使用作業系統等級防火牆規則進一步鎖定您允許從 Internet 存取的連接埠的 FTP 伺服器,停用不必要的服務,並確保您不使用被動範圍內的端口,這些連接埠用於其他服務在此伺服器上監聽。
FileZilla FTP 伺服器安全
閱讀強化 FileZilla FTP 伺服器發布並利用這些安全功能。