FTP仍然是企业内部文件传输的重要桥梁。可是 一旦没有做好访问控制黑客的脚步可能悄无声息地滑进来——这不是危言耸听， 一言难尽。 而是千千万万真实案例的警钟。

下面 我将用通俗易懂却不失严谨的方式，带你一步步实现对Linux FTP服务器的指定IP白名单/黑名单策略， 深得我心。 让你的数据在风雨中依旧安然无恙。

一、 先弄清楚我们在玩什么“游戏”——FTP服务全景速览

Linux 环境下最常见的 FTP 守护进程有：，靠谱。

• vsftpd——轻量、平安，是大多数发行版默认选项。
• ProFTPD——功能强大，可通过类似 Apache 的配置语法实现细粒度控制。
• Pure‑FTPd——注重易用性，同样提供 IP 限制功能。

不论你选哪一种，它们背后都离不开两大核心：“网络防火墙”和“服务本身的访问控制”。只要把这两块玩转，就能做到“只让朋友进门”。

二、为什么一定要限制 IP？从风险角度看，这里有三个关键点

1. 暴力破解成本降低：攻击者往往会遍历整个公网 IP 段。如果我们提前把不可信 IP 拦下来他们根本没有机会发起登录尝试。
2. 合规审计需求：金融、电信等行业法规明确要求对外部访问进行白名单管控。
3. 资源保护：当某台机器出现异常流量时 及时封堵可以避免 FTP 服务被拖垮，影响正常业务。

三、 方法一：使用 iptables实现端口层面的 IP 限制

iptables 是 Linux 最古老也最可靠的防火墙工具之一；如果你的系统已经升级到 nftables，只需把命令中的 iptables 替换为 nft 同理，大胆一点...。

1️⃣ 基础思路：先拒绝所有， 再放行白名单

# 先阻断除指定 IP 之外的所有对 21/TCP 的访问
sudo iptables -A INPUT -p tcp --dport 21 -j DROP
# 然后放行可信任 IP
sudo iptables -I INPUT -p tcp -s 192.168.10.55 --dport 21 -j ACCEPT
sudo iptables -I INPUT -p tcp -s 203.0.113.42 --dport 21 -j ACCEPT

小技巧：如果你一边启用了被动模式，还需要打开相应的数据端口范围，否则客户端会报 “Unable to open data connection”。记得把对应规则也加进去！

2️⃣ 持久化保存规则， 让它们在重启后依旧有效

发行版	保存命令示例
CentOS / RHEL 7+	# service iptables save # 保存到 /etc/sysconfig/iptables # systemctl restart iptables.service # 重启生效
Debian / Ubuntu	# ufw allow from 192.168.10.55 to any port 21 proto tcp # ufw enable # 自动持久化，无需额外步骤
SUSE / openSUSE	# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.55" port protocol="tcp" port="21" accept' # firewall-cmd --reload # 生效并持久化

温馨提醒：如果你的系统一边运行了 SELinux，请确保它没有把 ftp 数据端口标记为禁止，否则即使防火墙放行也会被拦截。

四、 方法二：在 vsftpd 配置文件中直接写入 IP 白名单/黑名单

vsftpd 天生支持基于 TCP Wrapper 的访问控制， 基本上... 只需要编辑两个小文件就能完成白名单或黑名单设置。

1️⃣ 编辑 hosts.allow 与 hosts.deny

# /etc/hosts.allow
# 格式：服务名: 客户端IP 
vsftpd: 192.168.10.55
vsftpd: 203.0.113.
# /etc/hosts.deny
# 默认拒绝所有未列出的请求
vsftpd: ALL

层次低了。 这里采用的是“白名单优先”，即只有 hosts.allow 中出现的 IP 才能连上 FTP；其余全部走 hosts.deny 的 “ALL”。如果你想改成“黑名单”，只需要把 deny 中写入恶意 IP，allow 中保持空即可。

2️⃣ 使用 listen_ip 参数锁定监听地址

# /etc/vsftpd/vsftpd.conf
listen=YES                # 启动独立监听模式
listen_ipv6=NO            # 若不需要 IPv6 可关闭
listen_address=10.20.30.40   # 指定仅在此网卡上接受连接
# 如果想让所有网卡都可用，用 * 或者直接省略此行。

别忘了修改完后施行：

# systemctl restart vsftpd
# systemctl status vsftpd   # 确认没有报错

3️⃣ 被动模式端口范围同样可以限定来源 IP

# 在 vsftpd.conf 中加入：
pasv_min_port=40000
pasv_max_port=40100
# 防火墙同步放行：
sudo iptables -A INPUT -p tcp --dport 40000:40100 -s 192.168.10.55 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 40000:40100 -j DROP   # 拒绝其他来源

五、 方法三：ProFTPD 中使用 与

PUA。 If you feel a bit adventurous and your organization prefers ProFTPD, it offers a more Apache‑like配置方式，可以直接在虚拟主机块里写入 Allow/Deny 指令。

   ServerName "ftp.example.com"
   DefaultRoot ~                     # 将用户根目录锁定到家目录
   
      Order deny,allow               # 先说说拒绝， 然后再允许
      Deny from all                  # 默认全部拒绝
      Allow from 203\.0\.113\.42     # 放行单个 IP
      Allow from 192\.168\.10\.\*   # 放行整个子网
   
   Port          21                 # 主动模式端口
   PassivePorts 40000 40100         # 被动模式范围，同样配合防火墙使用

记得施行：

# systemctl reload proftpd     # 热加载配置，不会导致业务中断。

六、方法四：老派但仍有效——TCP Wrapper统一治理所有守护进程

If you run several services besides FTP , you might want a统一入口来做统一的 IP 控制。 官宣。 TCP Wrapper 正好可以满足这个需求，只要对应守护进程编译时打开了 libwrap 支持即可。

• /etc/hosts.allow：

# 放行公司内部网段与合作伙伴固定IP
ALL: LOCAL, .corp.example.com, 203...
# 对 VSFTPD 单独放行， 可细化至具体服务名，如上文所示。
vsftpd: ALL EXCEPT .evil.com .bad.org 

• /etc/hosts.deny：

# 默认拒绝所有未列明来源，以免漏掉新出现的攻击源。
ALL: ALL 
# 如果想保留某些已知平安来源，可在这里删除对应条目。
# 注意顺序 —— 前面匹配成功即返回后来啊。

七、实战案例对比表 —— 哪种方案最适合你？

站在你的角度想... 方案名称 适用场景 关键指令或配置片段 维护成本与 性 Iptables + 被动端口 CentOS 7+, Debian 9+ -A INPUT … dport 21 … DROP -I INPUT … source x.x.x.x … ACCEPT  * 优点：全局防护，一次规则覆盖所有服务。 * 缺点：每次新增子网都要改防火墙规则。 * 推荐给有统一运维平台的团队。 Vsftpd hosts.allow/deny 大多数发行版默认自带 vsftpd /etc/hosts.allow:  vsftpd: 192.168..10.55* 简单直观，无需重启防火墙。 * 与 SELinux 配合自然。 * 不适用于需要动态添加大量子网的场景，需要手工编辑文件。 /etc/hosts.deny:  vsftpd: ALL   ProFTPD 虚拟主机块 企业级、 多租户环境 Order deny,allow Deny from all Allow from 203.0.113.** 配置灵活，可针对每个站点单独设置白名单。 * 学习曲线稍陡，需要熟悉 Apache 风格语法。 * 建议配合 LDAP 或数据库做动态授权。 总的 如果你的服务器仅部署单一 FTP 服务且管理人员不多，推荐首选 Vsftpd + hosts.allow；若是跨部门共享同一台机器，则 iptables + 被动端口 更符合“统一入口”理念；而 ProFTPD 则是“大型租户平台”的首选方案。

八、 FAQ —— 常见疑问快速解答

原来小丑是我。 Q1：我已经用 iptables 限制了端口，但还是有人能登录成功？

A1：可能原因有三：

这玩意儿... FTP 客户端使用了 PASV 模式，而我们只放通了 PORT 的21端口；请检查 pasvminport/pasvmaxport 并同步防火墙规则。

SELinux 或 AppArmor 将 ftpdatat 标记为 denied，需要施行 setseboo 太治愈了。 l -P ftpd_use_passive_mode on 或对应 AppArmor profile 调整。

来日方长。 有些 Linux 发放了 ipv6 地址，而我们只拦截了 ipv4；请补全 -6 参数或在 hosts.allow 中加入 ipv6 条目。

Q2：修改 hosts.allow 后需要重启服务吗，是吧？？

就这样吧... A2：不用！TCP Wrapper 在每次新建连接时都会读取最新文件。不过为保险起见，你可以 systemctl reload vsftpd 确保配置已重新加载。

Q3：怎么批量导入数百条白名单 IP？

A3：两种思路：

利用脚本循环 iptables -I INPUT ...接着一次性 service iptables save，记住...。

破防了... 对于 vsftpd， 可将所有可信 IP 写入一个单独文件，比方说 /etc/vsftpd/trusted_ips然后在 /etc/hosts.allow 使用通配符 vsftpd : FILE:/etc/vsftpd/trusted_ips。

---

©2026 信息平安技术部 | 本文仅供学习交流，请根据实际环境进行测试后再投入生产环境。

---