listen_port=2121

ftp_data_port=2020

Step3. 重新启动vsftpd

[root@home vsftpd]# /sbin/service vsftpd restart

Shutting down vsftpd: OK ]

Starting vsftpd for vsftpd: OK ]

在这边要注意，8、9 两个例子中，ftp client（如cuteftp）的联机方式不能

够选择passive mode，否则无法建立数据的联机。也就是读者可以连上ftp

server，但是执行ls、get 等等的指令时，便无法运作。

3.2.10. 建置一个防火墙下的ftp server，使用PASS FTP mode：ftp port:2121 以及ftp data port 从9981 到9986。

Step1. 执行以下两行指令，只允许port 2121 以及port 9981-9990 开放，其它关 闭。

iptables -A INPUT -p tcp -m multiport --dport

2121,9981,9982,9983,9984,9985,9986,9987,9988,9989,9990 -j ACCEPT

iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

Step2. 修改/etc/vsftpd/vsftpd.conf

新增底下四行

listen_port=2121

pasv_enable=YES

pasv_min_port=9981

pasv_max_port=9986

Step3. 重新启动vsftpd

[root@home vsftpd]# /sbin/service vsftpd restart

Shutting down vsftpd: OK ]

Starting vsftpd for vsftpd: OK ]

在这边要注意，在10 这个例子中，ftp client（如cuteftp）的联机方式必须

选择passive mode，否则无法建立数据的联机。也就是读者可以连上ftp

server，但是执行ls,get 等等的指令时，便无法运作。

8.2.11. 将vsftpd 与TCP_wrapper 结合

若是读者希望直接在/etc/hosts.allow 之中定义允许或是拒绝的来源地址，

可执行以下步骤。这是简易的防火墙设定。

Step1. 确定/etc/vsftpd/vsftpd.conf 之中tcp_wrappers 的设定为YES，如下图所 示：

tcp_wrappers=YES

这是RedHat9 的默认值，基本上不需修改。

Step2. 重新启动vsftpd

[root@home vsftpd]# /sbin/service vsftpd restart

Shutting down vsftpd: OK ]

Starting vsftpd for vsftpd: OK ]

Step3. 设定/etc/hosts.allow，譬如提供111.22.33.4 以及10.1.1.1 到10.1.1.254 连 线，则可做下图之设定：

vsftpd : 111.22.33.4 10.1.1. : allow

ALL : ALL : DENY

8.2.12. 将vsftpd 并入XINETD

若是读者希望将vsftpd 并入XINETD 之中，也就是7.x 版的预设设定，那

么读者可以执行以下步骤。

Step1. 修改/etc/vsftpd/vsftpd.conf

将

listen=YES

改为

listen=NO

Step2. 新增一个档案： /etc/xinetd.d/vsftpd

内容如下：