Top過去ログ目次掲示板

作成日:2002年10月05日 作成:おやじ
掲示板で過去に質問された内容です。

No.159 FTP Passive公開しました


No.159 投稿時間:2002年10月05日(Sat) 17:39 投稿者名:かつ URL:http://www.kkoba.com/
タイトル:FTP Passive公開しました

おやじさん、こんにちは。

オヤジさんのサイトを参考に、FTPをPassiveでも公開しました。
1年前にはできなかったのですが、
 「MasueradeAddressに自分で取ったもう一つのドメインを指定」ってとこが、
コツですね。
私のコンテンツも修正して、オヤジさんのサイトにリンクを貼らせて頂きました。
http://www.kkoba.com/linux/fileshare.shtml#12

あと、オヤジさんのTE4121Cの設定、23番は不要だと思うのですがどうでしょう?
http://www.aconus.com/~oyaji/router/te4121c_conf.htm

手が空いた時にでも、ftp.kkoba.comにanonymousでPort, Passiveの両方でテストしてみて
もらえると嬉しいです(一応自分ではテストは済んでます)。


No.160 投稿時間:2002年10月05日(Sat) 21:09 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:NAT-NATで何でPORTができるの?

> おやじさん、こんにちは。
>
> オヤジさんのサイトを参考に、FTPをPassiveでも公開しました。
> 1年前にはできなかったのですが、
>  「MasueradeAddressに自分で取ったもう一つのドメインを指定」ってとこが、
> コツですね。
> 私のコンテンツも修正して、オヤジさんのサイトにリンクを貼らせて頂きました。
> http://www.kkoba.com/linux/fileshare.shtml#12
>
> あと、オヤジさんのTE4121Cの設定、23番は不要だと思うのですがどうでしょう?
> http://www.aconus.com/~oyaji/router/te4121c_conf.htm
>
> 手が空いた時にでも、ftp.kkoba.comにanonymousでPort, Passiveの両方でテストしてみて
> もらえると嬉しいです(一応自分ではテストは済んでます)。

BLR-TX4がご臨終になってしまったので、TE4121C配下からpasv、port両方(ダウンロードのみ)
とも、うまくいきました。両側にNATが入ったケース4と思うのですが、これでなぜportがうまく
いくのですかね?
 ということで、こちらで確認できたことは以下のとおりです。
1. Etherealで確認したところ、portでは確かにローカルアドレスを通知している。
 かつさんのところではどのアドレスがみえたのでしょうか?
 ローカルが見えたのだとすると、ftp-dataが張れないはずですよね?
2. 上記のportのレスポンスは、dst.adrはクライアントのローカルで帰ってきている。
3. それで、TE4121CのNATテーブルを見ていたのですが、ftp-data(20)がくると、
30秒間と非常に短い時間だけ、クライアントにNATしていました。ftp-dataは、NAT
設定していないので、TE4121Cがftp(21)の応答として、ペアでNATしたとしか
 考えられません。
 但し、これもかつさんのところから、1でftp-dataが出られたからですよね?
 おやじ側のftp-dataの動きを見ると、TE4121Cはportのアドレスをグローバルに書き換え
 ていませんかね? それしか考えられないですね。

 ところで、フィルタのNo.23は実は設定の方は、FTPの整理をしていたとき気が付き、
既に消していましたが、HPの方を消すのを忘れていました。この設定は、雑誌でも見た
ことがありますが結構いいかげんですね?(今日中に修正します。)
 ということで、インターネット上の情報は、アップされた方の環境での話で、アップ
された時が旬。時間とともに(バージョンが変わるだけで)腐ってくるので、やはり
自分で理屈を抑えていかないと、情報どおりやってもうまくいかないのは当然ですね。


No.161 投稿時間:2002年10月05日(Sat) 22:00 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:かつさんのProFTPDは応答が速い?

 もうひとつ疑問が?
 かつさんのProFTPDは10秒ぐらいで応答してきますね。接続まで時間がかかるのは、
identのタイムアウトと思いますが、おやじのProFTPDは、30〜40秒もかかります。
クライアントのファイヤウォールは、サーバからの113番のみ開けてあるので、すぐ
つながりますが、外からはそうもいきません。
 バージョンは違うようですが、何か特別な設定していますか? IdentLookups off
はstandaloneモードでしか効かないので、手がありません。


No.164 投稿時間:2002年10月06日(Sun) 01:21 投稿者名:かつ URL:http://www.kkoba.com/
タイトル:FTP諸々

オヤジさん、こんばんは。

オヤジさんからこちらに届いているPortコマンドは、多分以下のもので全部です。
全部グローバルに変換されてます。
[05/Oct/2002:19:37:31 +0900] "PORT 211,2,127,104,4,91"
[05/Oct/2002:19:37:39 +0900] "PORT 211,2,127,104,4,92"
[05/Oct/2002:19:37:41 +0900] "PORT 211,2,127,104,4,93"
[05/Oct/2002:19:49:05 +0900] "PORT 211,2,127,104,130,204"
[05/Oct/2002:19:49:26 +0900] "PORT 211,2,127,104,130,205"
[05/Oct/2002:20:13:18 +0900] "PORT 211,2,127,104,4,125"
[05/Oct/2002:20:14:18 +0900] "PORT 211,2,127,104,4,128"

オヤジさんの考え通り、Portモードをクライアントが発行した時は、
ルータがPortコマンドのデータ中のポート番号を覚えて、次にサーバ
からの接続があったらクライアントにNATしているのだと思います。

きちんとは読めませんが、Linux 2.4.18のKernelに入っている、
ip_nat_ftp.cの中でも、Pasv,Portの双方を考慮しているのだけは
わかります。
TE4121Cでは「クライアント用ルータ」ってことで、Portの方だけ
対応しているんでしょうね。

> ということで、インターネット上の情報は、アップされた方の環境での話で、アップ
> された時が旬。時間とともに(バージョンが変わるだけで)腐ってくるので、やはり
> 自分で理屈を抑えていかないと、情報どおりやってもうまくいかないのは当然ですね。
この点については、全く同感です。
「この情報っていつの情報?」っているのに良く当たったので、自分のコンテンツには
全て日付を入れるようにしています。

> かつさんのProFTPDは10秒ぐらいで応答してきますね。接続まで時間がかかるのは、
> identのタイムアウトと思いますが、おやじのProFTPDは、30〜40秒もかかります。
特になんにもやってないです。
もともとFTPは、使用頻度が低いので今回まで殆どいじってませんでした。
可能性があるとしたら、TE4121Cの
「インターフェイスによるアクセス制限」で、
「接続先1(Nifty)側からのアクセスを禁止する」
にチェックしていることでしょうか?


No.165 投稿時間:2002年10月06日(Sun) 07:18 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:これで、すっきりしました。

かつさん、おはようございます。

> オヤジさんからこちらに届いているPortコマンドは、多分以下のもので全部です。
> 全部グローバルに変換されてます。
> [05/Oct/2002:19:37:31 +0900] "PORT 211,2,127,104,4,91"
> [05/Oct/2002:19:37:39 +0900] "PORT 211,2,127,104,4,92"
> [05/Oct/2002:19:37:41 +0900] "PORT 211,2,127,104,4,93"
> [05/Oct/2002:19:49:05 +0900] "PORT 211,2,127,104,130,204"
> [05/Oct/2002:19:49:26 +0900] "PORT 211,2,127,104,130,205"
> [05/Oct/2002:20:13:18 +0900] "PORT 211,2,127,104,4,125"
> [05/Oct/2002:20:14:18 +0900] "PORT 211,2,127,104,4,128"
>
> オヤジさんの考え通り、Portモードをクライアントが発行した時は、
> ルータがPortコマンドのデータ中のポート番号を覚えて、次にサーバ
> からの接続があったらクライアントにNATしているのだと思います。
>
> きちんとは読めませんが、Linux 2.4.18のKernelに入っている、
> ip_nat_ftp.cの中でも、Pasv,Portの双方を考慮しているのだけは
> わかります。
> TE4121Cでは「クライアント用ルータ」ってことで、Portの方だけ
> 対応しているんでしょうね。

 これで、すっきりしました。ひとつの例としてHPに付け加えておきます。

> > ということで、インターネット上の情報は、アップされた方の環境での話で、アップ
> > された時が旬。時間とともに(バージョンが変わるだけで)腐ってくるので、やはり
> > 自分で理屈を抑えていかないと、情報どおりやってもうまくいかないのは当然ですね。
> この点については、全く同感です。
> 「この情報っていつの情報?」っているのに良く当たったので、自分のコンテンツには
> 全て日付を入れるようにしています。

 これは、ごもっとも。できるところからこれも加えていきます。

> > かつさんのProFTPDは10秒ぐらいで応答してきますね。接続まで時間がかかるのは、
> > identのタイムアウトと思いますが、おやじのProFTPDは、30〜40秒もかかります。
> 特になんにもやってないです。
> もともとFTPは、使用頻度が低いので今回まで殆どいじってませんでした。
> 可能性があるとしたら、TE4121Cの
> 「インターフェイスによるアクセス制限」で、
> 「接続先1(Nifty)側からのアクセスを禁止する」
> にチェックしていることでしょうか?

 本件は、ProFTPDに起因しているのは間違いありません。おやじ側はident要求を廃棄
しているにもかかわらず、かつさんFTPの応答は速い。かと言って、瞬時ではないので、
identタイムアウトで接続許可しているはず。おやじFTPも、クライアントのファイヤ
ウォールでidnetを通してやれば、ダイヤルアップでの確認ですが瞬時につながります。
塞ぐとやはり30〜40sかかります。<Limit Login>ディレクティブの件(1.2.6でこれが
あると、一切接続不可)もあるので、ヴァージョン違いのような気がします。1.2.7rc1
がでていますので、機会をみてあげてみます。errataにはありませんが。

 お付き合いありがとうございました。

ps: かつさんが紹介されたじゅんさんから、ご丁寧な御礼をいただきました。
 また、がんばろうと思っています。


No.166 投稿時間:2002年10月06日(Sun) 20:10 投稿者名:かつ URL:http://www.kkoba.com/
タイトル:ident

おやじさん、こんばんは。

>  本件は、ProFTPDに起因しているのは間違いありません。おやじ側はident要求を廃棄
> しているにもかかわらず、かつさんFTPの応答は速い。かと言って、瞬時ではないので、
> identタイムアウトで接続許可しているはず。おやじFTPも、クライアントのファイヤ
> ウォールでidnetを通してやれば、ダイヤルアップでの確認ですが瞬時につながります。
> 塞ぐとやはり30〜40sかかります。<Limit Login>ディレクティブの件(1.2.6でこれが
> あると、一切接続不可)もあるので、ヴァージョン違いのような気がします。1.2.7rc1
> がでていますので、機会をみてあげてみます。errataにはありませんが。
ProFTPD 1.2.5のソースファイルをいじって、identを呼んでいる部分を消して見ました。
(1.2.6はおやじさんのサイトにおかしいと書いてあるので避けた)。
どの程度速度が速くなっているか、テストして頂けないでしょうか?

> ps: かつさんが紹介されたじゅんさんから、ご丁寧な御礼をいただきました。
>  また、がんばろうと思っています。
下にあったじゅんさんのスレッド読みました。
私も紹介で役に立てて嬉しいです。


No.167 投稿時間:2002年10月06日(Sun) 20:56 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:一瞬でつながります。

 かつさん、こんばんは。 やってますね・・・

> ProFTPD 1.2.5のソースファイルをいじって、identを呼んでいる部分を消して見ました。
> (1.2.6はおやじさんのサイトにおかしいと書いてあるので避けた)。
> どの程度速度が速くなっているか、テストして頂けないでしょうか?

 一瞬で繋がりますよ〜。今時、identに応答する端末なんかなく、どうせタイムアウトして
繋がるなら、設定できなくてはと思います。standaloneでは、IdnetLookups が効くのに、
Inetdでは有効にならないのは理由があるのですかね。他のディレクティブは、standalone
でしか有効でないもの等は記述があるので、これもバグ?
 どこを直せば、いいか教えてくれませんか。自分のリスクで手を入れますので。
 ところで、<Login Limit>があるとログインできなくなる問題は、1.2.7rc1で直っています。
バックアップ機で試験したところ、記述しても問題なくログインできるようになりました。

 今日は、httpsに振り回されていました。Apache2.0+sslは問題があるようです。stop/startssl
では問題なかったのですが、システムを再起動したところ、httpsでアクセスするとアクセスできる
のですが、エラーの吐きまくり。httpd.confとssl.confをいじれば、取り敢えず回避できるようなの
ですが、もう少し調査するためsslを止め、コンテンツも降ろしてしまいました。
 あと、証明書や鍵も手抜きしすぎなので、見直そうと思っています。作業は来週の連休ですかね。


No.168 投稿時間:2002年10月06日(Sun) 21:34 投稿者名:かつ URL:http://www.kkoba.com/
タイトル:Re: 一瞬でつながります。

おやじさん、こんばんは。

>  一瞬で繋がりますよ〜。今時、identに応答する端末なんかなく、どうせタイムアウトして
> 繋がるなら、設定できなくてはと思います。
テスト有難うございます。効果が出て自分でも嬉しいです。
確かに、identもういらないですよね。標準を無しにして欲しい。

> standaloneでは、IdnetLookups が効くのに、
> Inetdでは有効にならないのは理由があるのですかね。他のディレクティブは、standalone
> でしか有効でないもの等は記述があるので、これもバグ?
ソースを見た限りでは、特にstandaloneには関係ないように見えました。
もしかしたら、IdentLookupsを記述しただけで上手く行ったかも知れません。
何度もテストして貰うわけには行かないので、ソースをいじりました。

>  どこを直せば、いいか教えてくれませんか。自分のリスクで手を入れますので。
1.2.5ですが、src/main.cの中の、void fork_server()を直しました。
大幅に削っただけです。

旧---------------------------------------------------------------------------------
if ((ident_lookups = get_param_ptr(main_server->conf, "IdentLookups",
FALSE)) == NULL || *ident_lookups == TRUE) {
session.ident_lookups = TRUE;
session.ident_user = get_ident(session.pool, conn);

} else {
session.ident_lookups = FALSE;
session.ident_user = "UNKNOWN";
}
新---------------------------------------------------------------------------------
session.ident_lookups = FALSE;
session.ident_user = "NOIDENT";
-----------------------------------------------------------------------------------

>  今日は、httpsに振り回されていました。Apache2.0+sslは問題があるようです。stop/startssl
> では問題なかったのですが、システムを再起動したところ、httpsでアクセスするとアクセスできる
> のですが、エラーの吐きまくり。httpd.confとssl.confをいじれば、取り敢えず回避できるようなの
> ですが、もう少し調査するためsslを止め、コンテンツも降ろしてしまいました。
>  あと、証明書や鍵も手抜きしすぎなので、見直そうと思っています。作業は来週の連休ですかね。
ぜひ、完成したら載せて下さい。
私はまだ1.3.26ですが、SSLも使っているので将来に備えて参考にしたいです。
あと、私が書いている「MSが誤訳を直さない件」もコンテンツに加えて貰えると嬉しいです。
IE6 SP1でも相変わらず直ってない....
http://www.kkoba.com/ssl/browser.shtml


No.171 投稿時間:2002年10月07日(Mon) 22:02 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:1.2.7rc1では無効でした。当然か?

かつさん、こんばんは。

> > standaloneでは、IdnetLookups が効くのに、
> > Inetdでは有効にならないのは理由があるのですかね。他のディレクティブは、standalone
> > でしか有効でないもの等は記述があるので、これもバグ?
> ソースを見た限りでは、特にstandaloneには関係ないように見えました。
> もしかしたら、IdentLookupsを記述しただけで上手く行ったかも知れません。
> 何度もテストして貰うわけには行かないので、ソースをいじりました。
>
> >  どこを直せば、いいか教えてくれませんか。自分のリスクで手を入れますので。
> 1.2.5ですが、src/main.cの中の、void fork_server()を直しました。
> 大幅に削っただけです。
>
> 旧---------------------------------------------------------------------------------
> if ((ident_lookups = get_param_ptr(main_server->conf, "IdentLookups",
> FALSE)) == NULL || *ident_lookups == TRUE) {
> session.ident_lookups = TRUE;
> session.ident_user = get_ident(session.pool, conn);
>
> } else {
> session.ident_lookups = FALSE;
> session.ident_user = "UNKNOWN";
> }
> 新---------------------------------------------------------------------------------
> session.ident_lookups = FALSE;
> session.ident_user = "NOIDENT";
> -----------------------------------------------------------------------------------
>

 これを、見てもしかしたら、と試験してみましたが、案の定、1.2.7rc1ではだめでした。
inetdモードではIdentLookupsが効かないので、当然? ここ以外で、identが走っちゃっている
のだと思います。だとするなら、1.2.5ならかつさんの言うとおり、IdentLookups offだけで、
問題解決するような気がします。おやじは、1.2.5は試験してませんが、多分そうなるでしょう。
 今度の休みにどうするか(バージョンダウンを含めて)考えたいと思います。

> あと、私が書いている「MSが誤訳を直さない件」もコンテンツに加えて貰えると嬉しいです。
> IE6 SP1でも相変わらず直ってない....
> http://www.kkoba.com/ssl/browser.shtml

 本件、確かに最近まで無効になっていたと思いますが、SP1以降ではないかと思いますが、
直っていますね。確認したのは、2KとMeです。


No.172 投稿時間:2002年10月08日(Tue) 23:18 投稿者名:かつ URL:http://www.kkoba.com/
タイトル:Re: 1.2.7rc1では無効でした。当然か?

おやじさん、こんばんは。

>  これを、見てもしかしたら、と試験してみましたが、案の定、1.2.7rc1ではだめでした。
> inetdモードではIdentLookupsが効かないので、当然? ここ以外で、identが走っちゃっている
> のだと思います。だとするなら、1.2.5ならかつさんの言うとおり、IdentLookups offだけで、
> 問題解決するような気がします。おやじは、1.2.5は試験してませんが、多分そうなるでしょう。
>  今度の休みにどうするか(バージョンダウンを含めて)考えたいと思います。
うーん残念。
謝らなくてはいけないのは、ソースをいじるのと同時に、設定していなかったIdentLookups offを
設定した可能性があることです。
ルータ内部からテストする方法がないので、おやじさんの結果を待ちます。

>  本件、確かに最近まで無効になっていたと思いますが、SP1以降ではないかと思いますが、
> 直っていますね。確認したのは、2KとMeです。
直ってたんですか、知らなかったです。
私のWinXP + IE6 + SP1では、相変わらず「無効な日付」と表示されます。
他のWindowsマシンはないし、会社はIE5.5指定なので試せませんでした。


No.173 投稿時間:2002年10月12日(Sat) 01:32 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:1.2.5に落としても、IdentLookupsは無効でした。

> うーん残念。
> 謝らなくてはいけないのは、ソースをいじるのと同時に、設定していなかったIdentLookups offを
> 設定した可能性があることです。
> ルータ内部からテストする方法がないので、おやじさんの結果を待ちます。

 1.2.5にバージョンダウンしてみましたが、Identlookupsは効きませんでした。ソースのほうもだめ。
但し、ファイヤウォールでIdentを通してやると即つながるので、Identの問題には間違いないのですが?
バージョンダウンは、ただ、再インストールするだけで大丈夫ですよね。
 何がなんだかわからなくなってきました。取り敢えず、ファイヤウォールで自宅サーバだけIdentを
あけておけば問題ないので、少し冷静になってから考えたいと思います。


No.174 投稿時間:2002年10月12日(Sat) 01:52 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:結果として、取り敢えず1.26にしました。

> > うーん残念。
> > 謝らなくてはいけないのは、ソースをいじるのと同時に、設定していなかったIdentLookups offを
> > 設定した可能性があることです。
> > ルータ内部からテストする方法がないので、おやじさんの結果を待ちます。
>
>  1.2.5にバージョンダウンしてみましたが、Identlookupsは効きませんでした。ソースのほうもだめ。
> 但し、ファイヤウォールでIdentを通してやると即つながるので、Identの問題には間違いないのですが?
> バージョンダウンは、ただ、再インストールするだけで大丈夫ですよね。
>  何がなんだかわからなくなってきました。取り敢えず、ファイヤウォールで自宅サーバだけIdentを
> あけておけば問題ないので、少し冷静になってから考えたいと思います。

 1.2.7rc1では、既存ファイルの上書きで、パーミッションで上書きできないというエラーがでて使い物
にならないことが判明しました。従って、現在は、1.2.6に戻しました。


No.175 投稿時間:2002年10月12日(Sat) 23:44 投稿者名:かつ URL:http://www.kkoba.com/
タイトル:Re: 結果として、取り敢えず1.26にしました。

おやじさん、こんばんは。

> >  1.2.5にバージョンダウンしてみましたが、Identlookupsは効きませんでした。ソースのほうもだめ。
> > 但し、ファイヤウォールでIdentを通してやると即つながるので、Identの問題には間違いないのですが?
> > バージョンダウンは、ただ、再インストールするだけで大丈夫ですよね。
> >  何がなんだかわからなくなってきました。取り敢えず、ファイヤウォールで自宅サーバだけIdentを
> > あけておけば問題ないので、少し冷静になってから考えたいと思います。
なんかおかしいですよね。
FTPのPASV公開ではおやじさんの方法に感謝しているので、
何かお手伝いできることがあったら言ってください。


No.176 投稿時間:2002年10月13日(Sun) 00:47 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:ありがとうございます。

> なんかおかしいですよね。
> FTPのPASV公開ではおやじさんの方法に感謝しているので、
> 何かお手伝いできることがあったら言ってください。

 ProFTPDのデバックをしているより他にやりたいことがあるので、取り敢えず1.2.6なら使えますので、
1.2.7rc2、1.2.7、1.2.8?で直ることを期待して、本件は様子見にしようと思います。
 かつさんのところで、1.2.5で問題がないようなので、ディストリビューションや他のソフトとの関係
があるかもしれませんね。



掲示板▲頁先頭