おやじさん、こんにちは。
オヤジさんのサイトを参考に、FTPをPassiveでも公開しました。
1年前にはできなかったのですが、
「MasueradeAddressに自分で取ったもう一つのドメインを指定」ってとこが、
コツですね。
私のコンテンツも修正して、オヤジさんのサイトにリンクを貼らせて頂きました。
http://www.kkoba.com/linux/fileshare.shtml#12
あと、オヤジさんのTE4121Cの設定、23番は不要だと思うのですがどうでしょう?
http://www.aconus.com/~oyaji/router/te4121c_conf.htm
手が空いた時にでも、ftp.kkoba.comにanonymousでPort, Passiveの両方でテストしてみて
もらえると嬉しいです(一応自分ではテストは済んでます)。
> おやじさん、こんにちは。
>
> オヤジさんのサイトを参考に、FTPをPassiveでも公開しました。
> 1年前にはできなかったのですが、
> 「MasueradeAddressに自分で取ったもう一つのドメインを指定」ってとこが、
> コツですね。
> 私のコンテンツも修正して、オヤジさんのサイトにリンクを貼らせて頂きました。
> http://www.kkoba.com/linux/fileshare.shtml#12
>
> あと、オヤジさんのTE4121Cの設定、23番は不要だと思うのですがどうでしょう?
> http://www.aconus.com/~oyaji/router/te4121c_conf.htm
>
> 手が空いた時にでも、ftp.kkoba.comにanonymousでPort, Passiveの両方でテストしてみて
> もらえると嬉しいです(一応自分ではテストは済んでます)。
BLR-TX4がご臨終になってしまったので、TE4121C配下からpasv、port両方(ダウンロードのみ)
とも、うまくいきました。両側にNATが入ったケース4と思うのですが、これでなぜportがうまく
いくのですかね?
ということで、こちらで確認できたことは以下のとおりです。
1. Etherealで確認したところ、portでは確かにローカルアドレスを通知している。
かつさんのところではどのアドレスがみえたのでしょうか?
ローカルが見えたのだとすると、ftp-dataが張れないはずですよね?
2. 上記のportのレスポンスは、dst.adrはクライアントのローカルで帰ってきている。
3. それで、TE4121CのNATテーブルを見ていたのですが、ftp-data(20)がくると、
30秒間と非常に短い時間だけ、クライアントにNATしていました。ftp-dataは、NAT
設定していないので、TE4121Cがftp(21)の応答として、ペアでNATしたとしか
考えられません。
但し、これもかつさんのところから、1でftp-dataが出られたからですよね?
おやじ側のftp-dataの動きを見ると、TE4121Cはportのアドレスをグローバルに書き換え
ていませんかね? それしか考えられないですね。
ところで、フィルタのNo.23は実は設定の方は、FTPの整理をしていたとき気が付き、
既に消していましたが、HPの方を消すのを忘れていました。この設定は、雑誌でも見た
ことがありますが結構いいかげんですね?(今日中に修正します。)
ということで、インターネット上の情報は、アップされた方の環境での話で、アップ
された時が旬。時間とともに(バージョンが変わるだけで)腐ってくるので、やはり
自分で理屈を抑えていかないと、情報どおりやってもうまくいかないのは当然ですね。
もうひとつ疑問が?
かつさんのProFTPDは10秒ぐらいで応答してきますね。接続まで時間がかかるのは、
identのタイムアウトと思いますが、おやじのProFTPDは、30〜40秒もかかります。
クライアントのファイヤウォールは、サーバからの113番のみ開けてあるので、すぐ
つながりますが、外からはそうもいきません。
バージョンは違うようですが、何か特別な設定していますか? IdentLookups off
はstandaloneモードでしか効かないので、手がありません。
オヤジさん、こんばんは。
オヤジさんからこちらに届いているPortコマンドは、多分以下のもので全部です。
全部グローバルに変換されてます。
[05/Oct/2002:19:37:31 +0900] "PORT 211,2,127,104,4,91"
[05/Oct/2002:19:37:39 +0900] "PORT 211,2,127,104,4,92"
[05/Oct/2002:19:37:41 +0900] "PORT 211,2,127,104,4,93"
[05/Oct/2002:19:49:05 +0900] "PORT 211,2,127,104,130,204"
[05/Oct/2002:19:49:26 +0900] "PORT 211,2,127,104,130,205"
[05/Oct/2002:20:13:18 +0900] "PORT 211,2,127,104,4,125"
[05/Oct/2002:20:14:18 +0900] "PORT 211,2,127,104,4,128"
オヤジさんの考え通り、Portモードをクライアントが発行した時は、
ルータがPortコマンドのデータ中のポート番号を覚えて、次にサーバ
からの接続があったらクライアントにNATしているのだと思います。
きちんとは読めませんが、Linux 2.4.18のKernelに入っている、
ip_nat_ftp.cの中でも、Pasv,Portの双方を考慮しているのだけは
わかります。
TE4121Cでは「クライアント用ルータ」ってことで、Portの方だけ
対応しているんでしょうね。
> ということで、インターネット上の情報は、アップされた方の環境での話で、アップ
> された時が旬。時間とともに(バージョンが変わるだけで)腐ってくるので、やはり
> 自分で理屈を抑えていかないと、情報どおりやってもうまくいかないのは当然ですね。
この点については、全く同感です。
「この情報っていつの情報?」っているのに良く当たったので、自分のコンテンツには
全て日付を入れるようにしています。
> かつさんのProFTPDは10秒ぐらいで応答してきますね。接続まで時間がかかるのは、
> identのタイムアウトと思いますが、おやじのProFTPDは、30〜40秒もかかります。
特になんにもやってないです。
もともとFTPは、使用頻度が低いので今回まで殆どいじってませんでした。
可能性があるとしたら、TE4121Cの
「インターフェイスによるアクセス制限」で、
「接続先1(Nifty)側からのアクセスを禁止する」
にチェックしていることでしょうか?
かつさん、おはようございます。
> オヤジさんからこちらに届いているPortコマンドは、多分以下のもので全部です。
> 全部グローバルに変換されてます。
> [05/Oct/2002:19:37:31 +0900] "PORT 211,2,127,104,4,91"
> [05/Oct/2002:19:37:39 +0900] "PORT 211,2,127,104,4,92"
> [05/Oct/2002:19:37:41 +0900] "PORT 211,2,127,104,4,93"
> [05/Oct/2002:19:49:05 +0900] "PORT 211,2,127,104,130,204"
> [05/Oct/2002:19:49:26 +0900] "PORT 211,2,127,104,130,205"
> [05/Oct/2002:20:13:18 +0900] "PORT 211,2,127,104,4,125"
> [05/Oct/2002:20:14:18 +0900] "PORT 211,2,127,104,4,128"
>
> オヤジさんの考え通り、Portモードをクライアントが発行した時は、
> ルータがPortコマンドのデータ中のポート番号を覚えて、次にサーバ
> からの接続があったらクライアントにNATしているのだと思います。
>
> きちんとは読めませんが、Linux 2.4.18のKernelに入っている、
> ip_nat_ftp.cの中でも、Pasv,Portの双方を考慮しているのだけは
> わかります。
> TE4121Cでは「クライアント用ルータ」ってことで、Portの方だけ
> 対応しているんでしょうね。
これで、すっきりしました。ひとつの例としてHPに付け加えておきます。
> > ということで、インターネット上の情報は、アップされた方の環境での話で、アップ
> > された時が旬。時間とともに(バージョンが変わるだけで)腐ってくるので、やはり
> > 自分で理屈を抑えていかないと、情報どおりやってもうまくいかないのは当然ですね。
> この点については、全く同感です。
> 「この情報っていつの情報?」っているのに良く当たったので、自分のコンテンツには
> 全て日付を入れるようにしています。
これは、ごもっとも。できるところからこれも加えていきます。
> > かつさんのProFTPDは10秒ぐらいで応答してきますね。接続まで時間がかかるのは、
> > identのタイムアウトと思いますが、おやじのProFTPDは、30〜40秒もかかります。
> 特になんにもやってないです。
> もともとFTPは、使用頻度が低いので今回まで殆どいじってませんでした。
> 可能性があるとしたら、TE4121Cの
> 「インターフェイスによるアクセス制限」で、
> 「接続先1(Nifty)側からのアクセスを禁止する」
> にチェックしていることでしょうか?
本件は、ProFTPDに起因しているのは間違いありません。おやじ側はident要求を廃棄
しているにもかかわらず、かつさんFTPの応答は速い。かと言って、瞬時ではないので、
identタイムアウトで接続許可しているはず。おやじFTPも、クライアントのファイヤ
ウォールでidnetを通してやれば、ダイヤルアップでの確認ですが瞬時につながります。
塞ぐとやはり30〜40sかかります。<Limit Login>ディレクティブの件(1.2.6でこれが
あると、一切接続不可)もあるので、ヴァージョン違いのような気がします。1.2.7rc1
がでていますので、機会をみてあげてみます。errataにはありませんが。
お付き合いありがとうございました。
ps: かつさんが紹介されたじゅんさんから、ご丁寧な御礼をいただきました。
また、がんばろうと思っています。
おやじさん、こんばんは。
> 本件は、ProFTPDに起因しているのは間違いありません。おやじ側はident要求を廃棄
> しているにもかかわらず、かつさんFTPの応答は速い。かと言って、瞬時ではないので、
> identタイムアウトで接続許可しているはず。おやじFTPも、クライアントのファイヤ
> ウォールでidnetを通してやれば、ダイヤルアップでの確認ですが瞬時につながります。
> 塞ぐとやはり30〜40sかかります。<Limit Login>ディレクティブの件(1.2.6でこれが
> あると、一切接続不可)もあるので、ヴァージョン違いのような気がします。1.2.7rc1
> がでていますので、機会をみてあげてみます。errataにはありませんが。
ProFTPD 1.2.5のソースファイルをいじって、identを呼んでいる部分を消して見ました。
(1.2.6はおやじさんのサイトにおかしいと書いてあるので避けた)。
どの程度速度が速くなっているか、テストして頂けないでしょうか?
> ps: かつさんが紹介されたじゅんさんから、ご丁寧な御礼をいただきました。
> また、がんばろうと思っています。
下にあったじゅんさんのスレッド読みました。
私も紹介で役に立てて嬉しいです。
かつさん、こんばんは。 やってますね・・・
> ProFTPD 1.2.5のソースファイルをいじって、identを呼んでいる部分を消して見ました。
> (1.2.6はおやじさんのサイトにおかしいと書いてあるので避けた)。
> どの程度速度が速くなっているか、テストして頂けないでしょうか?
一瞬で繋がりますよ〜。今時、identに応答する端末なんかなく、どうせタイムアウトして
繋がるなら、設定できなくてはと思います。standaloneでは、IdnetLookups が効くのに、
Inetdでは有効にならないのは理由があるのですかね。他のディレクティブは、standalone
でしか有効でないもの等は記述があるので、これもバグ?
どこを直せば、いいか教えてくれませんか。自分のリスクで手を入れますので。
ところで、<Login Limit>があるとログインできなくなる問題は、1.2.7rc1で直っています。
バックアップ機で試験したところ、記述しても問題なくログインできるようになりました。
今日は、httpsに振り回されていました。Apache2.0+sslは問題があるようです。stop/startssl
では問題なかったのですが、システムを再起動したところ、httpsでアクセスするとアクセスできる
のですが、エラーの吐きまくり。httpd.confとssl.confをいじれば、取り敢えず回避できるようなの
ですが、もう少し調査するためsslを止め、コンテンツも降ろしてしまいました。
あと、証明書や鍵も手抜きしすぎなので、見直そうと思っています。作業は来週の連休ですかね。
おやじさん、こんばんは。
> 一瞬で繋がりますよ〜。今時、identに応答する端末なんかなく、どうせタイムアウトして
> 繋がるなら、設定できなくてはと思います。
テスト有難うございます。効果が出て自分でも嬉しいです。
確かに、identもういらないですよね。標準を無しにして欲しい。
> standaloneでは、IdnetLookups が効くのに、
> Inetdでは有効にならないのは理由があるのですかね。他のディレクティブは、standalone
> でしか有効でないもの等は記述があるので、これもバグ?
ソースを見た限りでは、特にstandaloneには関係ないように見えました。
もしかしたら、IdentLookupsを記述しただけで上手く行ったかも知れません。
何度もテストして貰うわけには行かないので、ソースをいじりました。
> どこを直せば、いいか教えてくれませんか。自分のリスクで手を入れますので。
1.2.5ですが、src/main.cの中の、void fork_server()を直しました。
大幅に削っただけです。
旧---------------------------------------------------------------------------------
if ((ident_lookups = get_param_ptr(main_server->conf, "IdentLookups",
FALSE)) == NULL || *ident_lookups == TRUE) {
session.ident_lookups = TRUE;
session.ident_user = get_ident(session.pool, conn);
} else {
session.ident_lookups = FALSE;
session.ident_user = "UNKNOWN";
}
新---------------------------------------------------------------------------------
session.ident_lookups = FALSE;
session.ident_user = "NOIDENT";
-----------------------------------------------------------------------------------
> 今日は、httpsに振り回されていました。Apache2.0+sslは問題があるようです。stop/startssl
> では問題なかったのですが、システムを再起動したところ、httpsでアクセスするとアクセスできる
> のですが、エラーの吐きまくり。httpd.confとssl.confをいじれば、取り敢えず回避できるようなの
> ですが、もう少し調査するためsslを止め、コンテンツも降ろしてしまいました。
> あと、証明書や鍵も手抜きしすぎなので、見直そうと思っています。作業は来週の連休ですかね。
ぜひ、完成したら載せて下さい。
私はまだ1.3.26ですが、SSLも使っているので将来に備えて参考にしたいです。
あと、私が書いている「MSが誤訳を直さない件」もコンテンツに加えて貰えると嬉しいです。
IE6 SP1でも相変わらず直ってない....
http://www.kkoba.com/ssl/browser.shtml
かつさん、こんばんは。
> > standaloneでは、IdnetLookups が効くのに、
> > Inetdでは有効にならないのは理由があるのですかね。他のディレクティブは、standalone
> > でしか有効でないもの等は記述があるので、これもバグ?
> ソースを見た限りでは、特にstandaloneには関係ないように見えました。
> もしかしたら、IdentLookupsを記述しただけで上手く行ったかも知れません。
> 何度もテストして貰うわけには行かないので、ソースをいじりました。
>
> > どこを直せば、いいか教えてくれませんか。自分のリスクで手を入れますので。
> 1.2.5ですが、src/main.cの中の、void fork_server()を直しました。
> 大幅に削っただけです。
>
> 旧---------------------------------------------------------------------------------
> if ((ident_lookups = get_param_ptr(main_server->conf, "IdentLookups",
> FALSE)) == NULL || *ident_lookups == TRUE) {
> session.ident_lookups = TRUE;
> session.ident_user = get_ident(session.pool, conn);
>
> } else {
> session.ident_lookups = FALSE;
> session.ident_user = "UNKNOWN";
> }
> 新---------------------------------------------------------------------------------
> session.ident_lookups = FALSE;
> session.ident_user = "NOIDENT";
> -----------------------------------------------------------------------------------
>
これを、見てもしかしたら、と試験してみましたが、案の定、1.2.7rc1ではだめでした。
inetdモードではIdentLookupsが効かないので、当然? ここ以外で、identが走っちゃっている
のだと思います。だとするなら、1.2.5ならかつさんの言うとおり、IdentLookups offだけで、
問題解決するような気がします。おやじは、1.2.5は試験してませんが、多分そうなるでしょう。
今度の休みにどうするか(バージョンダウンを含めて)考えたいと思います。
> あと、私が書いている「MSが誤訳を直さない件」もコンテンツに加えて貰えると嬉しいです。
> IE6 SP1でも相変わらず直ってない....
> http://www.kkoba.com/ssl/browser.shtml
本件、確かに最近まで無効になっていたと思いますが、SP1以降ではないかと思いますが、
直っていますね。確認したのは、2KとMeです。
おやじさん、こんばんは。
> これを、見てもしかしたら、と試験してみましたが、案の定、1.2.7rc1ではだめでした。
> inetdモードではIdentLookupsが効かないので、当然? ここ以外で、identが走っちゃっている
> のだと思います。だとするなら、1.2.5ならかつさんの言うとおり、IdentLookups offだけで、
> 問題解決するような気がします。おやじは、1.2.5は試験してませんが、多分そうなるでしょう。
> 今度の休みにどうするか(バージョンダウンを含めて)考えたいと思います。
うーん残念。
謝らなくてはいけないのは、ソースをいじるのと同時に、設定していなかったIdentLookups offを
設定した可能性があることです。
ルータ内部からテストする方法がないので、おやじさんの結果を待ちます。
> 本件、確かに最近まで無効になっていたと思いますが、SP1以降ではないかと思いますが、
> 直っていますね。確認したのは、2KとMeです。
直ってたんですか、知らなかったです。
私のWinXP + IE6 + SP1では、相変わらず「無効な日付」と表示されます。
他のWindowsマシンはないし、会社はIE5.5指定なので試せませんでした。
> うーん残念。
> 謝らなくてはいけないのは、ソースをいじるのと同時に、設定していなかったIdentLookups offを
> 設定した可能性があることです。
> ルータ内部からテストする方法がないので、おやじさんの結果を待ちます。
1.2.5にバージョンダウンしてみましたが、Identlookupsは効きませんでした。ソースのほうもだめ。
但し、ファイヤウォールでIdentを通してやると即つながるので、Identの問題には間違いないのですが?
バージョンダウンは、ただ、再インストールするだけで大丈夫ですよね。
何がなんだかわからなくなってきました。取り敢えず、ファイヤウォールで自宅サーバだけIdentを
あけておけば問題ないので、少し冷静になってから考えたいと思います。
> > うーん残念。
> > 謝らなくてはいけないのは、ソースをいじるのと同時に、設定していなかったIdentLookups offを
> > 設定した可能性があることです。
> > ルータ内部からテストする方法がないので、おやじさんの結果を待ちます。
>
> 1.2.5にバージョンダウンしてみましたが、Identlookupsは効きませんでした。ソースのほうもだめ。
> 但し、ファイヤウォールでIdentを通してやると即つながるので、Identの問題には間違いないのですが?
> バージョンダウンは、ただ、再インストールするだけで大丈夫ですよね。
> 何がなんだかわからなくなってきました。取り敢えず、ファイヤウォールで自宅サーバだけIdentを
> あけておけば問題ないので、少し冷静になってから考えたいと思います。
1.2.7rc1では、既存ファイルの上書きで、パーミッションで上書きできないというエラーがでて使い物
にならないことが判明しました。従って、現在は、1.2.6に戻しました。
おやじさん、こんばんは。
> > 1.2.5にバージョンダウンしてみましたが、Identlookupsは効きませんでした。ソースのほうもだめ。
> > 但し、ファイヤウォールでIdentを通してやると即つながるので、Identの問題には間違いないのですが?
> > バージョンダウンは、ただ、再インストールするだけで大丈夫ですよね。
> > 何がなんだかわからなくなってきました。取り敢えず、ファイヤウォールで自宅サーバだけIdentを
> > あけておけば問題ないので、少し冷静になってから考えたいと思います。
なんかおかしいですよね。
FTPのPASV公開ではおやじさんの方法に感謝しているので、
何かお手伝いできることがあったら言ってください。
> なんかおかしいですよね。
> FTPのPASV公開ではおやじさんの方法に感謝しているので、
> 何かお手伝いできることがあったら言ってください。
ProFTPDのデバックをしているより他にやりたいことがあるので、取り敢えず1.2.6なら使えますので、
1.2.7rc2、1.2.7、1.2.8?で直ることを期待して、本件は様子見にしようと思います。
かつさんのところで、1.2.5で問題がないようなので、ディストリビューションや他のソフトとの関係
があるかもしれませんね。