NỘI DUNG
Cấu hình Passive Mode cho FTP server với CSF Firewall trong cPanel để kết nối FTP an toàn và ổn định,
Nguyên nhân
Khi sử dụng FTP trong chế độ Passive Mode, kết nối dữ liệu sẽ được khởi tạo từ phía client. Điều này thường hữu ích khi client-side firewall chặn các kết nối FTP ở chế độ Active Mode. Tuy nhiên, các cổng cần dùng cho Passive Mode (49152-65534) thường bị chặn trong tường lửa của server, dẫn đến lỗi kết nối khi tải danh sách thư mục qua FTP.
Như ảnh bên dưới là một lỗi khi thực hiện FTP
Cách xử lý lỗi
Để giải quyết vấn đề này, bạn cần mở dải cổng Passive Mode trong CSF bằng cách làm theo các bước sau:
Bước 1: Kiểm tra PassivePortRange
Đầu tiên bạn kiểm tra PassivePortRange với lệnh sau
cat /var/cpanel/conf/pureftpd/main | grep PassivePortRange
Kết quả trả về như sau
PassivePortRange: 49152 65534
Như vậy PassivePortRange của FTP sẽ là 49152 => 65534. Khi đã xác định được PassivePortRange FTP ta tiến hành allow trên hệ thống Firewall và ở đây là CSF
Bước 2: Mở PassivePortRange trên CSF
Cách 1: Chỉnh sửa trên giao diện CSF
Bạn truy cập vào ConfigServer Security & Firewall => csf => Firewall Configuration
Sau đó tìm đến IPv4 Port Settings và thêm ,49152:65534
ở TCP_IN. Khi thêm xong bạn kéo xuống dưới cùng để lưu và khở động lại csf.
Cách 2: Chỉnh sửa bằng giao diện dòng lệnh
Tôi thường sử dụng cách này vì thao tác dòng lệnh sẽ nhanh và dễ dàng hơn (tuỳ mỗi người nhé). Bạn mở file csf.conf
bằng lệnh sau
vi /etc/csf/csf.conf
Sau đó bạn tìm đến dòng TCP_IN và thêm 49152:65534 vào tương ứng, đảm bảo có dấu phẩy ngăn cách với cổng cuối. Ví dụ:
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2079,2080,2082,2083,2086,2087,2095,2096,49152:65534"
Sau khi thêm xong bạn lưu lại và khởi động lại dịch vụ CSF bằng lệnh sau
systemctl restart csf
Hoặc
csf -r
Việc mở dải cổng Passive Mode trong CSF giúp FTP hoạt động ổn định mà không cần tắt tường lửa. Đây là giải pháp tối ưu cho các kết nối FTP ở chế độ Passive Mode, đảm bảo tính bảo mật và duy trì truy cập ổn định cho người dùng. Chúc bạn thực hiện thành công.
Tài liệu tham khảo:
- https://support.cpanel.net/hc/en-us/articles/1500011387921-How-to-add-the-passive-port-range-to-CSF-Firewall-from-the-command-line
- https://docs.cpanel.net/knowledge-base/ftp/how-to-enable-ftp-passive-mode/