使用 FTPS 時需要打開哪些防火牆埠？

我需要訪問供應商站點上的 FTPS 伺服器 (vsftpd)。供應商在 ftps 伺服器前面有防火牆。我的 FTPS 客戶端前面有防火牆。

我知道需要打開埠 990、991 和 989 來控制流量。

我有一些疑問：

1. 從供應商的防火牆角度來看，是否應該為入站和出站流量開放這些埠？
2. DATA 通道的埠呢？
3. 我必須打開1000以上的所有埠嗎？
4. 我應該對入站和出站流量都這樣做嗎？

我對 FTP over SSL (ftps) 的理解是它不適用於防火牆和 NAT。在普通的 FTP 會話中，防火牆會讀取數據連接資訊，並修改 NAT，以便防火牆動態打開所需的埠。如果該資訊受 SSL 保護，則防火牆無法讀取或更改它。

使用 SFTP 或 scp 使網路管理員的工作變得容易得多 - 一切都發生在伺服器的 22 埠上，並且事務遵循正常的客戶端/伺服器模型。

沒有提到的一件事是您的防火牆是否正在執行 NAT，以及它是靜態 NAT 還是動態 NAT。如果您的客戶端電腦具有靜態地址或正在靜態 NAT，假設您允許所有出站流量並且伺服器僅在被動模式 (PASV) 下執行，您可能不需要進行任何防火牆更改。

要確切知道需要打開哪些埠，您需要：

a) 與供應商交談，了解他們的系統是如何配置的。

b) 使用協議分析器（例如 tcpdump 或 wireshark）來查看來自防火牆外部和防火牆內部的流量

您需要找出哪個埠是控制連接。你列出了 3，這對我來說似乎很奇怪。假設伺服器僅在 PASV（被動）模式下工作，您需要弄清楚伺服器如何配置為分配的 DATA 埠。他們是否已將 DATA 通道鎖定到單個入站埠？他們是否已將 DATA 通道鎖定到小範圍或埠？

有了這些答案，您就可以開始配置防火牆了。

引用自：https://serverfault.com/questions/10807