適用版本：
Plesk for Linux

如何在后置于防火墻的服務(wù)器上為ProFTPd 配置被動(dòng)端口范圍？

我們可在文件/etc/proftpd.conf中使用PassivePorts指令來指定被動(dòng)端口范圍。

1. 通過SSH方式連接Plesk服務(wù)器。

2. 在任何文本編輯器中打開文件/etc/proftpd.conf，如下將下面的內(nèi)容放置Global部分：

...
...
PassivePorts 57000 58000

3. 如果需要，同時(shí)也在 /etc/proftpd.d/* 文件中指定端口。我們可以參閱ProFTPd文檔了解更多有關(guān)PassivePorts指令的信息。

4. 接下來，需將ip_conntrack_ftp模塊加載到系統(tǒng)中：

# /sbin/modprobe ip_conntrack_ftp

# lsmod | grep conntrack_ftp
nf_conntrack_ftp 13696 0
nf_conntrack 61684 1 nf_conntrack_ftp

5. 如果安裝并開啟了Plesk防火墻，請(qǐng)指定端口范圍。 

或者，確保iptables設(shè)置中存有下面一行：
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

6. 如果服務(wù)器后置于NAT，需加載ip_nat_ftp模塊：

# /sbin/modprobe ip_nat_ftp

如果在CentOS 7上安裝了FirewallD，需將NAT模塊添加到/etc/modules-load.d/iptables.conf 中

# echo ip_nat_ftp >> /etc/modules-load.d/iptables.conf
# echo ip_conntrack_ftp >> /etc/modules-load.d/iptables.conf

7. 若想要在系統(tǒng)重啟后仍保留修改，需如下將各模塊添加到/etc/sysconfig/iptables-config 文件中的IPTABLES_MODULES 一行：

# cat /etc/sysconfig/iptables-config | grep IPTABLES_MODULES
IPTABLES_MODULES="nf_conntrack_ftp nf_conntrack ip_nat_ftp"

注意：因?yàn)镕TP helper模塊必須要讀取和修改通過命令通道發(fā)送的命令，所以命令通道不能使用TLS/SSL加密，要保持暢通。

8. 如果需要為FTP使用TLS/SSL加密，唯一的方式是打開所需的端口并保存iptables規(guī)則。需在網(wǎng)絡(luò)環(huán)境下于所有防火墻上打開端口：

# iptables -A INPUT -p tcp --match multiport --dports 57000:58000 -j ACCEPT
# iptables-save

9. 重啟xinetd服務(wù)以應(yīng)用修改：

# service xinetd restart