こんにちは。
おやじさんコンテンツの「FTPサーバの公開」にてお聞きしたいことがあるのですが、
(RTシリーズのTCP/IPに関するFAQや過去からの贈り物「FTP〜前編・後編」も非常に勉強になりました)
普通、BBRを使用した複数接続の場合、yahoo.co.jpを参照する場合、ローカルPCからBBRに行きBBR
にて、ローカルPCのIP,ポートをBBRのグローバルIP,BBRのポートに変換して、yahooサーバとBBR
とが通信をして、最後にBBRのIP,ポートにきたデータをローカルPCのIP,ポートに変換して
ローカルPCでサイトを閲覧する。
といった流れですよね?
(つまり、マスカレードしているということですよね?)
PORTの■ケース4では、クライアントからのPORTに対して、サーバはOKを送り、制御コネクションを確立
しているのですが、データコネクションは失敗しています。
制御コネクションのOKは送れるのに、データコネクションは出来ないというのは、
サーバーの方はPORTコマンドを送ったPC(BBR)宛てにOK返信をし、さらにBBRがBBRのグローバルIP,ポート
をローカルPCのIP,ポートに変換してローカルPCに対してOKが届くが、
データコネクションの場合は、サーバーからの送信先がローカルアドレスだから、どうしようもないとい
う事でしょうか(サーバ側のローカルPCに行ってしまう???←そのIPのPCがあれば、、)?
(PORT、PASVの概念は大まかにわかった気がするのですが、その詳細がいまいちしっくりきません。)
あと、関係ないことでもう一つおききしたいのですが、おやじさんはネットからソフトをDLする時、
WGETを使っていますか?
あと、自分はどのファイル形式を解凍できるかを確認するコマンドってありますか?
よろしくおねがいします。
akuroさん、こんばんは。やってますね。
> 普通、BBRを使用した複数接続の場合、yahoo.co.jpを参照する場合、ローカルPCからBBRに行きBBR
> にて、ローカルPCのIP,ポートをBBRのグローバルIP,BBRのポートに変換して、yahooサーバとBBR
> とが通信をして、最後にBBRのIP,ポートにきたデータをローカルPCのIP,ポートに変換して
> ローカルPCでサイトを閲覧する。
> といった流れですよね?
> (つまり、マスカレードしているということですよね?)
Yes.
> PORTの■ケース4では、クライアントからのPORTに対して、サーバはOKを送り、制御コネクションを確立
> しているのですが、データコネクションは失敗しています。
> 制御コネクションのOKは送れるのに、データコネクションは出来ないというのは、
>
> サーバーの方はPORTコマンドを送ったPC(BBR)宛てにOK返信をし、さらにBBRがBBRのグローバルIP,ポート
> をローカルPCのIP,ポートに変換してローカルPCに対してOKが届くが、
> データコネクションの場合は、サーバーからの送信先がローカルアドレスだから、どうしようもないとい
> う事でしょうか(サーバ側のローカルPCに行ってしまう???←そのIPのPCがあれば、、)?
> (PORT、PASVの概念は大まかにわかった気がするのですが、その詳細がいまいちしっくりきません。)
上記はあっていますが、FTPの特徴である、IPアドレスのやりとりが少し省略して書いてあるので
しっくり来ないのかもしれません。一般的なIP通信は、パケットそのものにつくIPアドレスしかなく
ネットワーク機器(ルータ)は、これを解釈しながら中継していきます。ところが、FTPでは、このほかに
そのパケットで運ぶデータ部分にアドレス(具体的にはPORTコマンドで通知されるクライアント側の待ち受け
アドレスやPASVでのサーバ側の待ち受けアドレス)が入っており、これをもとにデータセッションの接続が
行われます。このアドレスには原則ルータは関与しませんので、そのまま相手に届いてしまいます。
従って、プライベートアドレスが相手のアドレスと思ってしまうので、仰せのとおり、ローカル内に流れて
しまうわけです。
なお、一番FTPコンテンツの最後にルータのFTP対策としてあげましたが、最近のルータはここの1番目の
ケースに対応しており、クライアントが投げたportコマンドの中のローカルアドレスを自分のWAN側の
アドレスに変えてくれますので(ある意味のNAT)、サーバからのパケットは20番でルータにまでくることが
できます。ルータは恐らく21番で制御コネクションを接続した相手から20番で接続があると、関連付けして
21番を要求してきたクライアントへ中継しているのだと思います。(おやじが使用しているTE4121Cでは、
21番が接続した瞬間に30秒間だけ、20番を要求元クライアントにNATおり、これを裏付ける証拠と思います。
この辺は、かつさんとの実験の様子がこのBBSのNo.159からのスレにありますので参考にされると良いでしょう。)
> あと、関係ないことでもう一つおききしたいのですが、おやじさんはネットからソフトをDLする時、
> WGETを使っていますか?
気分です。URLがはっきりしていないときは、ブラウザで落としてしまったほうが早いですから。
ブラインドタッチもできず、入力が遅いのもありますが。
> あと、自分はどのファイル形式を解凍できるかを確認するコマンドってありますか?
知りません。コマンド一覧はgoogleで牽けばいろいろ出てきますので、調べてみてはどうですか?
例えば、下記のようなものです。
http://www.cooweb.com/yoshito/linux/command/
こんばんは。
>クライアントが投げたportコマンドの中のローカルアドレスを自分のWAN側の
>アドレスに変えてくれますので(ある意味のNAT)、サーバからのパケットは20番でルータにまでくるこ
>とができます。ルータは恐らく21番で制御コネクションを接続した相手から20番で接続があると、関連付け
>して21番を要求してきたクライアントへ中継しているのだと思います。
では、自分はinfoseekのFTPアカウントをもっているのですが、BBRのおかげでFTPが
使えているのかもしれないですね。
あと、[FTPサーバの公開]にて、
>理想的には、FTPサーバをグローバルアドレス空間に置けば、ほとんどのケースで通信は可能となる。
とあるのですが、この場合PASVを用いた場合のことをいうのでしょうか?
>この辺は、かつさんとの実験の様子がこのBBSのNo.159からのスレにありますので参考にされると良いで
>しょう。)
ありがとうございます。
>気分です。URLがはっきりしていないときは、ブラウザで落としてしまったほうが早いですから。
現在自分はDNSサーバーやWWWサーバーを管理(?)している身でありながら、DL、圧縮/解凍すらした事の
ない状態なので危機感を感じています。
>コマンド一覧はgoogleで牽けばいろいろ出てきますので、調べてみてはどうですか?
>例えば、下記のようなものです。
ありがとうございます。
(圧縮/解凍関係のコマンドを発見しました)
もう一つお聞きしたいのですが、sendmailをアンインストールしようとおもっているのですが、
いきなりアンインストールしても大丈夫でしょうか?
(chkconfig sendmail offしないで)
そして、その後にPCの再起動した方がいいのでしょうか?
よろしくおねがいします。
こんばんは。
> では、自分はinfoseekのFTPアカウントをもっているのですが、BBRのおかげでFTPが
> 使えているのかもしれないですね。
PORTモードで接続しているならです。PASVなら普通の接続形態です。
> あと、[FTPサーバの公開]にて、
> >理想的には、FTPサーバをグローバルアドレス空間に置けば、ほとんどのケースで通信は可能となる。
>
> とあるのですが、この場合PASVを用いた場合のことをいうのでしょうか?
おやじは、「ルータの特殊な機能やクライアント環境を選ばない」という点で理想的という表現をしました。
PORTモードではクライアントが、NATルータ配下にいなければサーバ側のルータの設定だけでできますが、
NATルータ配下の場合は接続できません。しかし、これはクライアントが家庭内端末では、BBRの変換機能で
救済されて実質は通信できますが、会社や学校内のクライアントは業務用のルータを介して接続してきますので、
これらのルータにはこのような機能はありません。従って、こういう環境からのアクセスをさせたいのであれば、
サーバ側でのPASV対応が必須になりますが、NAT越えですとこれが難しいのです。唯一、これができるのが
ProFTPDだと思います。ルータには期待できません。そういう意味ではPASVのことともいえなくもないのですが。
> 現在自分はDNSサーバーやWWWサーバーを管理(?)している身でありながら、DL、圧縮/解凍すらした事の
> ない状態なので危機感を感じています。
必要になったらで良いのではないでしょうか。学校の勉強とは違います。必要なら自分で何とかしなくては
先に進まないでしょうから。おやじが、みなさんといろいろお話させていただいているのも、自分の勉強の
つもりでいるためです。人にものを語るには、話す内容の数倍の知識がないとまともに話ができないですから。
> もう一つお聞きしたいのですが、sendmailをアンインストールしようとおもっているのですが、
> いきなりアンインストールしても大丈夫でしょうか?
> (chkconfig sendmail offしないで)
> そして、その後にPCの再起動した方がいいのでしょうか?
当然、止めてから、削除すべきです。再起動は不要です。
こんばんは。
>PORTモードで接続しているならです。PASVなら普通の接続形態です。
PORTモードだと思うので自分のBBRのおかげのようです。
>必要になったらで良いのではないでしょうか。学校の勉強とは違います。
さっそくProFTPDを落としてきました(初インストールも成功したようです)。
そこで、ProFTPDにてお聞きしたいことがあるのですが、
●[FTPサーバの公開]---ProFTPDによるPASVモードでの運用にて、
>ProFTPDはstandaloneでは、IPの変化が起きてもDNSを牽き直さないので、
>必ずinetdで走らせる必要がある。
自分は固定なので関係はないのですが、なぜinetd(xinetd?)で走らせないと
まずいのでしょうか(xinetdがIPの変更に対応してくれるのでしょうか)?
>PassivePortsでは、PASVモードで使用するポート番号(1024以上)の最小と最大で範囲指定する。
>おやじは、家庭用なのでそれほど多くは必要ないのと使いまわしされるので、MaxInstancesと
>同じ30ポートとし、他のデーモンで使ってない4000-4029とした。
> なお、このポートはインターネット側から接続が開始されるので、ルータのスタティックNAT
>でサーバにNATすると同時に、フルタリングも開ける必要がある。
BBRでのバーチャルサーバ設定で4000-4029を開放するということでしょうか?
(「フィルタリングもあける必要がある」とはどういうことでしょうか)
自分のBBRにはLAN側のフィルタリング設定しかありませんでした。
それと、
>Idnetにより接続に異常に時間がかかるので調査したところ、inetdモードでは、
>Idnetlookups offの設定は無効であり、idnetは止められませんので、
>ファイヤウォールで113を開けるか、じっくり30秒待つしかないようです。
というのもよくわからにのですが、このIdnet,Idnetlookupsとはなんでしょうか?
(検索してもヒットしないのですが、、、)
最後に、
><Limit LOGIN>
> Order allow, deny
> Allow from 127.0.0.1, 192.168.1., 172.16.0.
> Deny from all
></Limit LOGIN>
>上記設定があると家庭内から一切アクセスできなくなってしまった
とありますが、Order allow,deny ⇒ Order deny,allowではないのでしょうか?
(後で評価する方が優先されるとありました。ちがったらすみません)
質問が多くてすみませんが、よろしくおねがいします。
こんばんは。あしたが早いので簡単に。
> ●[FTPサーバの公開]---ProFTPDによるPASVモードでの運用にて、
>
> >ProFTPDはstandaloneでは、IPの変化が起きてもDNSを牽き直さないので、
> >必ずinetdで走らせる必要がある。
>
> 自分は固定なので関係はないのですが、なぜinetd(xinetd?)で走らせないと
> まずいのでしょうか(xinetdがIPの変更に対応してくれるのでしょうか)?
xinet.dを調べてください。inetdで走らせると、起動のたびにProFTPDが走るので、
そのときのアドレスを見に行くからです。
> >PassivePortsでは、PASVモードで使用するポート番号(1024以上)の最小と最大で範囲指定する。
> >おやじは、家庭用なのでそれほど多くは必要ないのと使いまわしされるので、MaxInstancesと
> >同じ30ポートとし、他のデーモンで使ってない4000-4029とした。
> > なお、このポートはインターネット側から接続が開始されるので、ルータのスタティックNAT
> >でサーバにNATすると同時に、フルタリングも開ける必要がある。
>
> BBRでのバーチャルサーバ設定で4000-4029を開放するということでしょうか?
> (「フィルタリングもあける必要がある」とはどういうことでしょうか)
> 自分のBBRにはLAN側のフィルタリング設定しかありませんでした。
これは、少しご自分で考えてください。聞くより、自分でやってみることです。カットアンドトライで
やってみることです。おのずと、動きが見えてきます。
> >Idnetにより接続に異常に時間がかかるので調査したところ、inetdモードでは、
> >Idnetlookups offの設定は無効であり、idnetは止められませんので、
> >ファイヤウォールで113を開けるか、じっくり30秒待つしかないようです。
>
> というのもよくわからにのですが、このIdnet,Idnetlookupsとはなんでしょうか?
> (検索してもヒットしないのですが、、、)
これは、本当に申し訳ない。スペルが間違っています。掲示板等はあっているのに。m(__)m
identの誤りです。調べれば、ヒットするはずです。HP後で修正しておきます。ありがとうございます。
ただ、おやじの環境ではこれが効かないんですよね。かつさんはバッチりなのに。
> 最後に、
> ><Limit LOGIN>
> > Order allow, deny
> > Allow from 127.0.0.1, 192.168.1., 172.16.0.
> > Deny from all
> ></Limit LOGIN>
>
> >上記設定があると家庭内から一切アクセスできなくなってしまった
>
> とありますが、Order allow,deny ⇒ Order deny,allowではないのでしょうか?
> (後で評価する方が優先されるとありました。ちがったらすみません)
ここも、HPの打ち込みミスです。申し訳ない。実際の設定は、下記です。
<Limit LOGIN>
Order allow, deny
Deny from all
Allow from 127.0.0.1, 192.168.1., 172.16.0.
</Limit LOGIN>
でも、これを設定すると、ご指摘のとおり1.2.6以降では接続できなくなってしまいます。
で、ふと思い立ってチョット実験してみたのですが、アドレスを簡略形でなく、
192.168.1.0/24と書くと繋がるところまでは、確認できました。ひょうたんから駒です。
これで、この問題は解消できそうですが、本当にリミッタとして効いているかは確認できて
いません。確認していただけるとありがたいのですが。
こんばんは。
>こんばんは。あしたが早いので簡単に。
いつもすみません、本当に時間のあいているときで結構ですので。
>xinet.dを調べてください。inetdで走らせると、起動のたびにProFTPDが走るので、
>そのときのアドレスを見に行くからです。
スタンドアロンだと、起動しっぱなしだけど、xinetd経由なら、要求があった時に起動してくれる
ので、そのつどFTPは名前解決(設定したドメイン名からIPを知る)ということでしょうか?
(スタンドアロンだと、デーモンの再起動が必要ということでしょうか)
>これは、少しご自分で考えてください。聞くより、自分でやってみることです。カットアンドトライで
>やってみることです。おのずと、動きが見えてきます。
proftpd.confの設定が完了次第試してみたいと思います。
>identの誤りです。調べれば、ヒットするはずです。
勉強になりました(まだあまり理解していませんが)。
サーバからクライアントに対する確認機能とありました。
ほとんど拒否か無視されるということだったのであまり必要性はないようですね。
(winXPのファイヤーウォール機能で問題が生じてしまうとありました。)
>でも、これを設定すると、ご指摘のとおり1.2.6以降では接続できなくなってしまいます。
1.2.6より前だとうまくいってたということでしょうか?
という事は「Order allow,deny ⇒ Order deny,allow」は関係ないみたいですね。
>で、ふと思い立ってチョット実験してみたのですが、アドレスを簡略形でなく、
>192.168.1.0/24と書くと繋がるところまでは、確認できました。ひょうたんから駒です。
>これで、この問題は解消できそうですが、本当にリミッタとして効いているかは確認できて
>いません。確認していただけるとありがたいのですが。
どうやってこちらから確認をすればいいのでしょうか?
(FFFTPを使っているのですが、それでを使えばいいのでしょうか、
あと、そのとき何か特殊な設定はいりますか?)
あと、PAM認証についてお聞きしたい事があるのですが、
proftpdはPAM認証でクライアントを制御しているのですか?
さらに、RedHatはPAMに対応していると調べていたらあったのですが、
これは、最初のログイン(ユーザ名/パスワード)の認証もPAMにまかせている
ということでしょうか?
(PAMが/etc/passwd,etc/groupを見ているのでしょうか?⇒PAMにも色々モジュールがあるようですが、、、)
最後に、ローカルからアクセスする場合用に、PORTが使用可能なwu-ftpdもいっしょに起動しても
大丈夫でしょうか(ポートが重複してしまうからどちらか起動でどちらか停止でしょうか)?
よろしくおねがいします。
こんばんは。
> スタンドアロンだと、起動しっぱなしだけど、xinetd経由なら、要求があった時に起動してくれる
> ので、そのつどFTPは名前解決(設定したドメイン名からIPを知る)ということでしょうか?
> (スタンドアロンだと、デーモンの再起動が必要ということでしょうか)
Yes。従ってスタンドアロンでは、使い物になりません。(akuroさんは固定なので
ご自分のIPを書くだけでどちらでもかまいませんが)
> 勉強になりました(まだあまり理解していませんが)。
> サーバからクライアントに対する確認機能とありました。
> ほとんど拒否か無視されるということだったのであまり必要性はないようですね。
> (winXPのファイヤーウォール機能で問題が生じてしまうとありました。)
今時、identに応答する端末はないと思いますので、おやじは無駄と思っています。
> >でも、これを設定すると、ご指摘のとおり1.2.6以降では接続できなくなってしまいます。
>
> 1.2.6より前だとうまくいってたということでしょうか?
> という事は「Order allow,deny ⇒ Order deny,allow」は関係ないみたいですね。
1.2.5は問題ありませんでした。順番は関係あります。が、少し変な気がします。
試験し直す必要がありそうです。なんか、評価が./htaccessとは違う気がします。
> >で、ふと思い立ってチョット実験してみたのですが、アドレスを簡略形でなく、
> >192.168.1.0/24と書くと繋がるところまでは、確認できました。ひょうたんから駒です。
> >これで、この問題は解消できそうですが、本当にリミッタとして効いているかは確認できて
> >いません。確認していただけるとありがたいのですが。
>
> どうやってこちらから確認をすればいいのでしょうか?
> (FFFTPを使っているのですが、それでを使えばいいのでしょうか、
> あと、そのとき何か特殊な設定はいりますか?)
おやじのサイトでというつもりではありませんでした。これを使う予定がないなら
自分で確認しますので、結構です。
> あと、PAM認証についてお聞きしたい事があるのですが、
> proftpdはPAM認証でクライアントを制御しているのですか?
> さらに、RedHatはPAMに対応していると調べていたらあったのですが、
> これは、最初のログイン(ユーザ名/パスワード)の認証もPAMにまかせている
> ということでしょうか?
> (PAMが/etc/passwd,etc/groupを見ているのでしょうか?⇒PAMにも色々モジュールがあるようですが、、、)
いろいろな認証が使えます。おやじはPAMを使っただけです。認証については、ProFTPD本家のドキュメント
をみてください。下記も参考になるでしょう。googleをもっと使われたらどうでしょうか。いくらでも出てきます。
http://www.zdnet.co.jp/help/tips/linux/l0230.html
> 最後に、ローカルからアクセスする場合用に、PORTが使用可能なwu-ftpdもいっしょに起動しても
> 大丈夫でしょうか(ポートが重複してしまうからどちらか起動でどちらか停止でしょうか)?
ポートの重複はありえません。おやじはの環境は、PASV対策している関係で、家庭内は
PORTしか使えません。(PASVでアクセスするとWAN側のグローバルをProFTPDが通知して
くるので、接続できない。)外部からは、開けてはいませんがPORTでもPASVでも使える
環境です。ProFTPDにされたほうが良いと思います。設定もApacheに似て判りやすいですし。
気になったので、見直してみました。おかしいかなと思いましたが、あっています。
下記を参考にしてください。このとおり、動作します。
http://www.ipc.tosho-u.ac.jp/User/access_control.ja.html
こんばんは。
>1.2.5は問題ありませんでした。順番は関係あります。が、少し変な気がします。
>試験し直す必要がありそうです。なんか、評価が./htaccessとは違う気がします。
>気になったので、見直してみました。おかしいかなと思いましたが、あっています。
>下記を参考にしてください。このとおり、動作します。
色々試してはいるのですが、今の所うまくいきませんでした。
(もう少し調べてみます)
>いろいろな認証が使えます。おやじはPAMを使っただけです。認証については、ProFTPD本家のドキュメント
>をみてください。下記も参考になるでしょう。googleをもっと使われたらどうでしょうか。いくらでも出て>きます。
参照リンクありがとうございます。
(再度調べてみます)
>ポートの重複はありえません。おやじはの環境は、PASV対策している関係で、家庭内は
>PORTしか使えません。(PASVでアクセスするとWAN側のグローバルをProFTPDが通知して
>くるので、接続できない。)外部からは、開けてはいませんがPORTでもPASVでも使える
>環境です。ProFTPDにされたほうが良いと思います。設定もApacheに似て判りやすいですし。
外部からPORT、PASVのテストをしたいのですが、なにかツールのようなものってありますか?
(内部PORTは動きました)
(前に、自分はODNのアカウントがあるといいましたが、現在使用できないのでその他に
試す方法はないでしょうか?)
よろしくおねがいします。
こんばんは。
> 色々試してはいるのですが、今の所うまくいきませんでした。
> (もう少し調べてみます)
必要なければ(外部からアクセスさせたい)、設定は不要です。必要なら、おやじの設定で
(但し、192.168.1.0/24と書くこと)でうまくいくはずです。ダイヤルアップで確認しました。
> 外部からPORT、PASVのテストをしたいのですが、なにかツールのようなものってありますか?
> (内部PORTは動きました)
> (前に、自分はODNのアカウントがあるといいましたが、現在使用できないのでその他に
> 試す方法はないでしょうか?)
おやじのサイトはWWWしかできませんが、OAKさんのサイト(http://kkk.nu/)でFTPの試験が
できます。
こんばんは。
>必要なければ(外部からアクセスさせたい)、設定は不要です。必要なら、おやじの設定で
将来は友達のWWWサイトも開設しようかと考えているので、外部からも接続したいのですが苦戦しています。
>(但し、192.168.1.0/24と書くこと)でうまくいくはずです。ダイヤルアップで確認しました。
ありがとうございます。
allow 192.168.0.1/24
deny all
をした所、内部からつながりました。
設定を変更し、今度は外部からテストしてみましたが、外部は駄目でした。
(<limit login>を全部コメントアウトしても)。
ftp: connect: Connection refused
とあり、拒否されているようでした。
(色々と試してみたいと思います。)
>おやじのサイトはWWWしかできませんが、OAKさんのサイト(http://kkk.nu/)でFTPの試験が
>できます。
ありがとうございます。
こんばんは。
> 設定を変更し、今度は外部からテストしてみましたが、外部は駄目でした。
> (<limit login>を全部コメントアウトしても)。
>
> ftp: connect: Connection refused
> とあり、拒否されているようでした。
> (色々と試してみたいと思います。)
読んで字のごとくです。こちらからも試験してみましたが、接続できませんね。
No.251と同類の問題と思います。21番が繋がりませんので、フィルタかスタティックNAT
と思いますが。
こんばんは。
http://kkk.nu/よりPORTのテストが成功しました。
問題はやはりBBRでした。
設定は合っていたのですが、BBRに伝わっていないようでした。
調べたところどうやら、自分のBBRは設定をして、設定ボタンを押しても反映されない
場合がある(?)ようでした(www,dnsはうまくいったのですが)
最終的に、ルータをブラウザからリブートしたら反映されました。
こんばんは。
(何度もすみません)
無事、PASVの接続もできました。
接続したのはいいのですが、謎も生まれました。
proftpd.confにて、
>・PassivePorts
> PassivePortsでは、PASVモードで使用するポート番号(1024以上)の最小と最大で範囲指定する。おや
>じは、家庭用なのでそれほど多くは必要ないのと使いまわしされるので、MaxInstancesと同じ30ポートと
>し、他のデーモンで使ってない4000-4029とした。
> なお、このポートはインターネット側から接続が開始されるので、ルータのスタティックNATでサーバに
>NATすると同時に、フルタリングも開ける必要がある。
とありましたが、スタティックNATは何もしなかったのですが接続できました。
(さらに調べてみます)
こんばんは。
まずは、おめでとうございます。
> 無事、PASVの接続もできました。
>
> 接続したのはいいのですが、謎も生まれました。
> proftpd.confにて、
>
> >・PassivePorts
> > PassivePortsでは、PASVモードで使用するポート番号(1024以上)の最小と最大で範囲指定する。おや
> >じは、家庭用なのでそれほど多くは必要ないのと使いまわしされるので、MaxInstancesと同じ30ポートと
> >し、他のデーモンで使ってない4000-4029とした。
> > なお、このポートはインターネット側から接続が開始されるので、ルータのスタティックNATでサーバに
> >NATすると同時に、フルタリングも開ける必要がある。
>
> とありましたが、スタティックNATは何もしなかったのですが接続できました。
理論的には、繋がらないはずです。DMZという(他の言い方もあるかもしれませんが)機能で外部からアクセス
があったら、指定されているアドレス(事例としてはサーバのアドレスを書くように指示されていることが多い)
へ転送する機能があります。この機能で動かしていませんか。もしそうなら、意識しなくても繋がります。
しかし、この機能は外部からのアクセスが全てサーバに飛んできますので、インターネットにサーバが剥き出し
状態です。危険ですので、この機能は使用せず、スタティックNATで明示的に必要なポートをサーバに向けるように
してください。
>理論的には、繋がらないはずです。DMZという(他の言い方もあるかもしれませんが)機能で外部からア
>クセスがあったら、指定されているアドレス(事例としてはサーバのアドレスを書くように指示されている
>ことが多い)へ転送する機能があります。この機能で動かしていませんか。もしそうなら、意識しなくても
>繋がります。
> しかし、この機能は外部からのアクセスが全てサーバに飛んできますので、インターネットにサーバが剥
>き出し状態です。危険ですので、この機能は使用せず、スタティックNATで明示的に必要なポートをサーバ
>に向けるようにしてください。
確認しましたが、DMZの設定はしていませんでした。
こんばんは。
>ftp: connect: Connection refused
すみません、これはhttp://kkk.nu/でのテスト結果の表示です。
あと、
>allow 192.168.0.1/24
>deny all
>をした所、内部からつながりました
とありましたが、今までも<Limit LOGIN>をコメントアウトすればはいれたのですが、
<Limit LOGIN>を追加すると入れませんでした。
そこで、上記のようにすると<Limit LOGIN>を追加した状態で入れたという意味でした。
すみませんでした。
こんばんは。
FTPにて初歩的な質問なのですが、
ルータの外部からFTPクライアントにて接続するとき、BBRのバーチャルサーバの設定は
TCPの21,22で大丈夫ですか?
http://scan.sygatetech.com/という所で、TCPのスキャンをしてもらったのですが、
WWWはOPENとでたのですが、FTPは無反応でした。
(http://kkk.nu/でも、原因としてポートを開いていないとありました。)
よろしくおねがいします。
こんばんは。
> ルータの外部からFTPクライアントにて接続するとき、BBRのバーチャルサーバの設定は
> TCPの21,22で大丈夫ですか?
21だけです。22はSSHですから、必要になるまで開けないようにしてください。
こんばんは。
>21だけです。22はSSHですから、必要になるまで開けないようにしてください。
これはPASVで動作させる場合のことですよね。
(PORT(PORTは使うつもり無いのですが、、)の場合は22をあけないとまずいですよね)
一応調べてみたのですが、22を閉じると駄目でした(PORT)。
さらに、なぜかPASVまで繋がらなくなりました。
再度22を開けると、PASV成功でした。
よくわからないのですが、PASV/PORT共にデータコネクションは20みたいです。
(混乱してきました)
こんにちは。
> これはPASVで動作させる場合のことですよね。
> (PORT(PORTは使うつもり無いのですが、、)の場合は22をあけないとまずいですよね)
違います。もう一度「FTPサーバの公開」をよく読んでください。制御コネクションは
PORT/PASVに関係なく21番です。あと、開ける・閉じるという言葉ですが、フィルタに
関することと、ポートマッピング(スタティックNAT)に関する場合とが、ゴチャゴチャ
に使われていることが多いですが、これは一般的にフィルタに関する表現とおやじは
思っています。ポートマッピングは、切るという言葉を使うこともありますが、間違えない
という意味では、マッピングするとしたほうが良いかもしれません。
22はSSHですから、FTPに関しては開ける必要性はなく、PORTなら20番(但し、これは
サーバ側から始まる通信なので、他の一般通信とおなじなので、ルータによっては何も
しないで繋がるはずです。)、PASVならPassiveportsで指定した範囲(この通信は、
インターネット側から始まるので、おやじのルータの設定のようにTCP-SYNでフィルタ
している場合は、明示的に開けなければなりません)をあける必要があります。
ポートマッピングは、PASV用のPassiveportsで指定した範囲をマッピングさせないと、
インターネット側から始まる通信なので、通信できません。
> 一応調べてみたのですが、22を閉じると駄目でした(PORT)。
> さらに、なぜかPASVまで繋がらなくなりました。
>
> 再度22を開けると、PASV成功でした。
> よくわからないのですが、PASV/PORT共にデータコネクションは20みたいです。
> (混乱してきました)
おかしいです。ここの、駄目というのが制御コネクションのことだとすると、何か、
ルータがおかしい気がします。設定どおりに動いていないということで。データコネ
クションは20番ですから、これも関係ないはず。PASVのデータコネクションは1024番
以上しか使いません。22が関係しているとなると、やはりルータが変な動きをしている
としか思えないのですが。
それとも、いろいろやりすぎて、明確に切り分けできていないかのどちらかだと
思います。
こんにちは。
>もう一度「FTPサーバの公開」をよく読んでください。
すみません、質問で、21,22といっていましたが、20、21の間違いでした。
(真に申し訳ありませんでした)
22はマッピングしていませんでした。
>PORTなら20番(但し、これはサーバ側から始まる通信なので、他の一般通信とおなじなので、ルータによ
>っては何もしないで繋がるはずです。)
自分の考えがあっているか、チェックして頂きたいのですが、
PORTの場合、
最初に、クライアントから、サーバの21番とで制御コネクションを確立させ(サーバは21をマッピング)、
次に、制御コネクションを使って、クライアントのIPとポートをサーバに送る。
後は、制御コネクションで、クライアントが要求すると、サーバからデータコネクションを確立して
データをやり取りする。
PASVの場合、上記と同じく、サーバの21番とで制御コネクションを確立し、
こんどは、クライアントからサーバ(21番)にむけてPASVを送信、
それに対して、サーバはサーバのIPとポートをクライアントに送信する、
最後に、クライアントからサーバに対してデータコネクションを確立して、
データをやり取りする。
現在の状況は、BBRのTCPの21番だけマッピングした状態で、
●PORTテストは出来る(これはOKですよね)。
●PASVテストも出来る(これはおかしい)。
という状況です。
現在のproftpd.confの設定は
#PASVモードでインターネット公開する場合の設定の追加
MasqueradeAddress thunder-gundan.info
PassivePorts 4000 4029
としています。そして、下記はFTPテストのログなのですが、
[PASVテストのやりとり]
--------------------------------------------------------------------
ftp> passive
Passive mode on.
ftp> dir
227 Entering Passive Mode (203,141,144,48,128,110)
150 Opening ASCII mode data connection for file list
-rw-r--r-- 1 daken daken 23 Nov 16 16:06 msg.txt
drwxr-xr-x 2 daken daken 4096 Nov 16 02:09 test
-rw-r--r-- 1 daken daken 22 Nov 14 23:54 test.txt
-rw-r--r-- 1 daken daken 0 Nov 16 02:38 ttttt
226 Transfer complete.
--------------------------------------------------------------------
となっています。
そこでよくわからないのが、
227 Entering Passive Mode (203,141,144,48,128,110) なのですが、
128,110 は ポート32779という事でしょうか?
(4000から4029ではない?)
これらはどういうことが考えられるでしょうか?
自分としては、こういうケースは大体自分に問題があって後でわかったりするのがパターンなんですが、、、
こんにちは。
> 自分の考えがあっているか、チェックして頂きたいのですが、
> PORTの場合、
> 最初に、クライアントから、サーバの21番とで制御コネクションを確立させ(サーバは21をマッピング)、
> 次に、制御コネクションを使って、クライアントのIPとポートをサーバに送る。
> 後は、制御コネクションで、クライアントが要求すると、サーバからデータコネクションを確立して
> データをやり取りする。
>
> PASVの場合、上記と同じく、サーバの21番とで制御コネクションを確立し、
> こんどは、クライアントからサーバ(21番)にむけてPASVを送信、
> それに対して、サーバはサーバのIPとポートをクライアントに送信する、
> 最後に、クライアントからサーバに対してデータコネクションを確立して、
> データをやり取りする。
あっています。
> 現在の状況は、BBRのTCPの21番だけマッピングした状態で、
>
> ●PORTテストは出来る(これはOKですよね)。
>
> ●PASVテストも出来る(これはおかしい)。
>
> という状況です。
>
> 現在のproftpd.confの設定は
>
> #PASVモードでインターネット公開する場合の設定の追加
> MasqueradeAddress thunder-gundan.info
> PassivePorts 4000 4029
>
> としています。そして、下記はFTPテストのログなのですが、
>
> [PASVテストのやりとり]
> --------------------------------------------------------------------
> ftp> passive
> Passive mode on.
> ftp> dir
> 227 Entering Passive Mode (203,141,144,48,128,110)
> 150 Opening ASCII mode data connection for file list
> -rw-r--r-- 1 daken daken 23 Nov 16 16:06 msg.txt
> drwxr-xr-x 2 daken daken 4096 Nov 16 02:09 test
> -rw-r--r-- 1 daken daken 22 Nov 14 23:54 test.txt
> -rw-r--r-- 1 daken daken 0 Nov 16 02:38 ttttt
> 226 Transfer complete.
> --------------------------------------------------------------------
>
> となっています。
> そこでよくわからないのが、
>
> 227 Entering Passive Mode (203,141,144,48,128,110) なのですが、
>
> 128,110 は ポート32779という事でしょうか?
> (4000から4029ではない?)
128,110は、128*256+110=32878 です。xinet.dを再起動しましたか?設定しただけでは
反映されません。でも、MasqueradeAddressは反映されているようなので、再起動はされて
いるような・・・・?
「PassivePorts」と「4000 4029」の間はスペースですか?もしそうなら、「Tab」に
変えて見てください。「4000」と「4029」の間はスペースです。ときどき、こういった
ことでうまくいかないときがあります。
こんばんは。
>128,110は、128*256+110=32878 です。
すみません、計算ミスでした。
>xinet.dを再起動しましたか?設定しただけでは
>反映されません。
最初自分も、xinetdを再起動していたのですが、テストしているうちに再起動しなくても反映されてる
ようなので、特に再起動していませんでした。
>「PassivePorts」と「4000 4029」の間はスペースですか?もしそうなら、「Tab」に
>変えて見てください。「4000」と「4029」の間はスペースです。ときどき、こういった
>ことでうまくいかないときがあります。
スペースだったので、タブにしてxinetdを再起動してみました。
[PASV実行結果]
---------------------------------------------------------------------
ftp> passive
Passive mode on.
ftp> dir
227 Entering Passive Mode (203,141,144,48,129,250)
150 Opening ASCII mode data connection for file list
-rw-r--r-- 1 daken daken 23 Nov 16 16:21 msg.txt
drwxr-xr-x 2 daken daken 4096 Nov 16 02:09 test
-rw-r--r-- 1 daken daken 22 Nov 14 23:54 test.txt
-rw-r--r-- 1 daken daken 0 Nov 16 02:38 ttttt
226 Transfer complete.
---------------------------------------------------------------------
特に変わりませんでした。
BBRのポートの事といい、セキュリティー的にはよくないですよね。
こんばんは。
ひどいことになってきたので、戻します。
何か変ですね。ProFTPDの設定も効いていないようですし、ルータも勝手に
マッピングしているというのは?
ルータの機種は何ですか?
proftpd.confを送ってください。勉強のため、少し見てみたいのですが。
こんばんは。
>ありません。下記を参考にしてください。但し、ProFTPDはバ−ジョンアップ
>もダウンもできます。confはそのままのこりますので、大丈夫です。
全てのLinuxのアプリケーションは基本的に、上からインストールしても大丈夫なのでしょうか?
(make uninstallがあればコマンドをしてから上書きでしょうか?)
あと、proftpdにて、バージョンアップ/ダウンをする設定は何処にあるのですか(↓でもう上書き
してしまったのですが、、、)?
> 一般的に大丈夫ですよ。ただ、confはリネームして、万が一に備えたほうが
>良いと思います。
あれから、proftpd1.2.6を上からインストールしました。
proftpd.confは前の1.2.7rc2を使用しました。
[proftpd1.2.6の結果]
-------------------------------------------------------------------------
ftp> passive
Passive mode on.
ftp> dir
227 Entering Passive Mode (203,141,144,48,131,137)
150 Opening ASCII mode data connection for file list
-rw-r--r-- 1 daken daken 23 Nov 18 02:24 msg.txt
drwxr-xr-x 2 daken daken 4096 Nov 16 02:09 test
-rw-r--r-- 1 daken daken 22 Nov 14 23:54 test.txt
-rw-r--r-- 1 daken daken 0 Nov 16 02:38 ttttt
226 Transfer complete.
-------------------------------------------------------------------------
とくに変化はありませんでした。
>もしかすると、ルータも自分の意識外の動きをしていることも、十分に考えられ、
>ズボズボかもしれません。セキュリティスキャンの詳細スキャンをして、予定外
>のポートが開いていたりしないかチェックすることを薦めます。
これは、http://scan.sygatetech.com/にて、TCP SCANコンテンツを実行すればいいのでしょうか?
よろしくおねがいします。
こんばんは。
> 全てのLinuxのアプリケーションは基本的に、上からインストールしても大丈夫なのでしょうか?
> (make uninstallがあればコマンドをしてから上書きでしょうか?)
make uninstallがあれば、当然こちらから実行すべきです。基本的には上書きで大丈夫ですが、
アプリやバージョン間で条件があることがありますので、毎回、個別に調べるしかありません。
> あと、proftpdにて、バージョンアップ/ダウンをする設定は何処にあるのですか(↓でもう上書き
> してしまったのですが、、、)?
この間なら問題ありません。
> > 一般的に大丈夫ですよ。ただ、confはリネームして、万が一に備えたほうが
> >良いと思います。
> [proftpd1.2.6の結果]
> -------------------------------------------------------------------------
> ftp> passive
> Passive mode on.
> ftp> dir
> 227 Entering Passive Mode (203,141,144,48,131,137)
> 150 Opening ASCII mode data connection for file list
> -rw-r--r-- 1 daken daken 23 Nov 18 02:24 msg.txt
> drwxr-xr-x 2 daken daken 4096 Nov 16 02:09 test
> -rw-r--r-- 1 daken daken 22 Nov 14 23:54 test.txt
> -rw-r--r-- 1 daken daken 0 Nov 16 02:38 ttttt
> 226 Transfer complete.
> -------------------------------------------------------------------------
これって、OAKさんのサイトのログですよね。なんとなく、ポートマップしていないのに
繋がることと合わせて考えるとルータがPASVに対応してるとしか思えません。
PASV関係の2つの設定を外してもPASVで繋がるのではありませんか。
もし繋がらないなら、設定をもどしてEtherealでOAKさんのサイトでテストすると同時に
モニタすれば、PASVポートが変換されているかどうかはわかります。
> >もしかすると、ルータも自分の意識外の動きをしていることも、十分に考えられ、
> >ズボズボかもしれません。セキュリティスキャンの詳細スキャンをして、予定外
> >のポートが開いていたりしないかチェックすることを薦めます。
>
> これは、http://scan.sygatetech.com/にて、TCP SCANコンテンツを実行すればいいのでしょうか?
YES. 相当時間がかかるので、寝るときでも起動したらどうでしょうか。
こんばんは。
>これって、OAKさんのサイトのログですよね。なんとなく、ポートマップしていないのに
>繋がることと合わせて考えるとルータがPASVに対応してるとしか思えません。
> PASV関係の2つの設定を外してもPASVで繋がるのではありませんか。
>もし繋がらないなら、設定をもどしてEtherealでOAKさんのサイトでテストすると同時に
>モニタすれば、PASVポートが変換されているかどうかはわかります。
#PASVモードでインターネット公開する場合の設定の追加
#MasqueradeAddress thunder-gundan.info
#PassivePorts 4000 4029
で実行した所、問題なく動きました。
[結果]
--------------------------------------------------------------------------
ftp> passive
Passive mode on.
ftp> dir
227 Entering Passive Mode (203,141,144,48,131,186)
150 Opening ASCII mode data connection for file list
-rw-r--r-- 1 daken daken 23 Nov 18 02:41 msg.txt
drwxr-xr-x 2 daken daken 4096 Nov 16 02:09 test
-rw-r--r-- 1 daken daken 22 Nov 14 23:54 test.txt
-rw-r--r-- 1 daken daken 0 Nov 16 02:38 ttttt
226 Transfer complete.
--------------------------------------------------------------------------
おやじさんの言われる通り、BBRが対応しているようです。
後、Etherealというのはパケットを調べるソフトとあったのですが、これはみなGUIなのでしょうか?
サーバPCはキャラクタのみなのでCUIのEtherealを探したのですが見つかりませんでした。
(WINDOWSで実行するしかないのでしょうか?)
よろしくおねがいします。
こんばんは。
> #PASVモードでインターネット公開する場合の設定の追加
> #MasqueradeAddress thunder-gundan.info
> #PassivePorts 4000 4029
>
> で実行した所、問題なく動きました。
もう、間違いありませんね。CoregaのBAR SW4Pでしたよね。FTPサーバのコンテンツに
数少ないルータ情報として載せておきたいと思います。
> 後、Etherealというのはパケットを調べるソフトとあったのですが、これはみなGUIなのでしょうか?
> サーバPCはキャラクタのみなのでCUIのEtherealを探したのですが見つかりませんでした。
> (WINDOWSで実行するしかないのでしょうか?)
Windows版で類似のソフト(Windows2000のみ対応)があり、名前を失念しましたが、使ったことがあり
ます。ただ、他のPCでモニタするには少しテクニック(というほどのこともありませんが)が必要で、
バカHUBをサーバ機とネットワーク(SW-HUB等)の間に入れ、そのバカHUBでサーバ通信をモニタする
ぐらいしか、方法はありません。結果は出ているので、必要はないと思います。
CUI版のEtherealがあるかどうかは知りません。Xを入れることはできないのですか?自宅サーバを趣味的
にいじるなら、便利なツールと思いますが。
こんばんは。
>もう、間違いありませんね。CoregaのBAR SW4Pでしたよね。
そうです。
>数少ないルータ情報として載せておきたいと思います。
このBBRの情報が役にたてばいいですね。
>Windows版で類似のソフト(Windows2000のみ対応)があり、名前を失念しましたが、使ったことがあり
>ます。
WIN2000用のEtherealを発見したので、とりあえずインストールしてみました。
>ただ、他のPCでモニタするには少しテクニック(というほどのこともありませんが)が必要で、
>バカHUBをサーバ機とネットワーク(SW-HUB等)の間に入れ、そのバカHUBでサーバ通信をモニタする
>ぐらいしか、方法はありません。結果は出ているので、必要はないと思います。
HUBにモニタ機能のついたものがあるのですか(ログ機能?)。
> CUI版のEtherealがあるかどうかは知りません。Xを入れることはできないのですか?自宅サーバを趣味
>的にいじるなら、便利なツールと思いますが。
サーバー構築前に、gnome等を入れて見たことがあるのですが、PCと相性が悪いようで、
ブラウザの起動にやたら時間掛かったり、ブラウザ表示が変だったりと、後、一番相性が
悪いのはグラフィックカードでうまく認識しれくれませんでした。
そんな感じで、現在はCUIのみで稼動させています。
これで、おやじさんのおかげで、DNS,FTPが動くようになりました。
これからPostfix/qpopper、WWW(CGI)のコンテンツを勉強したいと思います。
(また、問題が発生するかもしれませんが、よろしくおねがいします。)
> >ただ、他のPCでモニタするには少しテクニック(というほどのこともありませんが)が必要で、
> >バカHUBをサーバ機とネットワーク(SW-HUB等)の間に入れ、そのバカHUBでサーバ通信をモニタする
> >ぐらいしか、方法はありません。結果は出ているので、必要はないと思います。
>
> HUBにモニタ機能のついたものがあるのですか(ログ機能?)。
バカHUBは、機能的には針金と同じ。つまりバカHUBにつながったいずれかのPCがパケットを
投げると、すべてのPCに情報が流れてくるので、それを拾えばモニタできるというだけのこと。
これに対して、SW-HUBは学習機能があり、ユニキャストのパケット(特定の端末向けのパケット)
は他のポートには流れないので、モニタすることができないと言うだけのことです。
> これで、おやじさんのおかげで、DNS,FTPが動くようになりました。
> これからPostfix/qpopper、WWW(CGI)のコンテンツを勉強したいと思います。
> (また、問題が発生するかもしれませんが、よろしくおねがいします。)
がんばってください。