Top過去ログ目次掲示板

作成日:2003年01月10日 作成:おやじ
掲示板で過去に質問された内容です。

No.372 FTPServer PASV運用について


No.372 投稿時間:2003年01月10日(Fri) 22:26 投稿者名:勉強中 URL:
タイトル:FTPServer PASV運用について

PASVモードでFTPD運用を検索していて、ここのHPに出会いました。
とても詳しく記載されてて、感動しました。

実は、FTP serverをどうしてもPASVモードで動かせないでいます。
Portモードでなら問題なく運用出来ていますが、クライアント側が
やはりPASVモードでアクセスを余儀なくされている人が多いようで
・・・
使用機種はBA8000proで、静的NATで、PASVポートを合わせて開放
しているのですが、(例 4000-4099)

プロトコル:TCP/IP
リモートIPアドレス:*
リモートポート:*
外部IPアドレス:(WAN側自動所得でグローバル出てます)
外部ポート:4000-4099
内部IPアドレス:192.168.1.21(DHCPを使用しないでマシン側手動IP)
内部ポート:外部ポートと同様(4000-4099)

FTPD側のポートマッピングも同一に指定しましたがダメでした。


以前 Persolの001と005を保持していたのですが、こちらはPort運用
そのものがダメで、PASV設定でポートを静的NATで通して、うまくいって
いたので、最新ルーターがこれほど苦労するとは思っていなかったのも
有ります。

おやじ様の方でもこのルーターをお使いになっておられるようなので
なにかヒントをお教えくださいませ。よろしくお願いします。


No.373 投稿時間:2003年01月10日(Fri) 22:50 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:フィルタは問題ありませんか?

こんばんは。

> PASVモードでFTPD運用を検索していて、ここのHPに出会いました。
> とても詳しく記載されてて、感動しました。

 IP通信の基本を理解していただくと、いろいろ自分で解決できると思い、なるべく平易に(といっても限度がありますが)やや難しいFTPをターゲットに仕組みとパケットレベルでどうなっているか解説してみた物です。お役に立てれば幸いです。


> 実は、FTP serverをどうしてもPASVモードで動かせないでいます。
> Portモードでなら問題なく運用出来ていますが、クライアント側が
> やはりPASVモードでアクセスを余儀なくされている人が多いようで
> ・・・
> 使用機種はBA8000proで、静的NATで、PASVポートを合わせて開放
> しているのですが、(例 4000-4099)
>
> プロトコル:TCP/IP
> リモートIPアドレス:*
> リモートポート:*
> 外部IPアドレス:(WAN側自動所得でグローバル出てます)
> 外部ポート:4000-4099
> 内部IPアドレス:192.168.1.21(DHCPを使用しないでマシン側手動IP)
> 内部ポート:外部ポートと同様(4000-4099)
>
> FTPD側のポートマッピングも同一に指定しましたがダメでした。

 本題ですが、フィルタの話題が出てきていませんね。PASVの場合、データコネクションはクライアント側から通信が始まりますので、WWWサーバの公開と同じく、フィルタで開けてあげなければなりません。ここでは、4000-4099が対象になります。おやじのルータの設定例(下記)はご覧になりましたでしょうか?BA8000はかなり細かい設定ができるため、いろいろ対策していますので、参考になると思います。

 ・http://www.aconus.com/~oyaji/router/ba8000_conf.htm

 もし、既に対処済みでしたら、FTPサーバテストを実施して、結果をここに貼り付けてください。当然、伏せるべき物は伏せてください。但し伏せすぎないように。


No.374 投稿時間:2003年01月11日(Sat) 00:33 投稿者名:勉強中 URL:
タイトル:Re:フィルタ設定は以下のように追加してみました

早速の回答ありがとうございます。

http://www.aconus.com/~oyaji/router/ba8000_conf.htm

も凄く参考になります。
フィルター設定ですが、135と137-139、445を遮断していますが、
それ以外の設定を行っていません。で、例のID64の全部通過が
あります。で以下のようにも追加で設定してみました

WAN→LAN と 後で LAN→WAN と両方にも以下のように設定してみました。
反対は、あまり関係ないですよね。

動作:Pass
プロトコル:UDP&TCP(UDPも付けてみました)
TCPフラグ:(指定してませんがSYNもやってみました)
送信元アドレス:*
送信元ポート:4000-4099
送信先アドレス:*
送信先ポート:*

でもう1つ(逆も開けてみました)

動作:Pass
プロトコル:UDP&TCP(UDPも付けてみました)
TCPフラグ:(指定してませんがSYNもやってみました)
送信元アドレス:*
送信元ポート:*
送信先アドレス:*
送信先ポート:4000-4099

これで、フィルターは解除となっているはずですが、やはり通りませんでした。


No.375 投稿時間:2003年01月11日(Sat) 00:49 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:FTPサーバテストを実施してください。

こんばんは。

> フィルター設定ですが、135と137-139、445を遮断していますが、
> それ以外の設定を行っていません。で、例のID64の全部通過が
> あります。で以下のようにも追加で設定してみました

 このままでは危険ですが、取り敢えずはFTPを通すことを考えると、この状態ではフィルタは問題ありません。つまり、64番の設定で何でもあり状態ですから。後で、FTP問題が解決されたら、おやじの設定を参考に積極的に閉めることを薦めます。P to P等も通らない設定ですので、この辺をお使いなら、追加設定が必要でしょう。

> WAN→LAN と 後で LAN→WAN と両方にも以下のように設定してみました。
> 反対は、あまり関係ないですよね。
>
> 動作:Pass
> プロトコル:UDP&TCP(UDPも付けてみました)
> TCPフラグ:(指定してませんがSYNもやってみました)
> 送信元アドレス:*
> 送信元ポート:4000-4099
> 送信先アドレス:*
> 送信先ポート:*
>
> でもう1つ(逆も開けてみました)
>
> 動作:Pass
> プロトコル:UDP&TCP(UDPも付けてみました)
> TCPフラグ:(指定してませんがSYNもやってみました)
> 送信元アドレス:*
> 送信元ポート:*
> 送信先アドレス:*
> 送信先ポート:4000-4099

 64番があるので、この設定は盲腸です。
 おやじのFTPサーバテストを実施して、結果を載せてください。どのフェーズで止まっているかがわかりますので。伏せるのが面倒なら、何時から試験したかを載せてください。もしくは、E-Mailアドレス欄を記入してテストしてください。


No.377 投稿時間:2003年01月11日(Sat) 01:28 投稿者名:勉強中 URL:
タイトル:Re:FTPサーバテストを実施してみました

おやじ 様、色々ありがとうございます。もうID64がある限り設定しないと
大穴という事は判っているつもりなのですが、とりあえずPASV接続できな
ければと半分イジになってしまっている(苦笑)のかもしれません。トホホ。

試験テストの別アップを忘れてました(^^;で、今もやってみましたが、
こんな状態です。PASVモードでです。

>220-FTPD Server
> 220 Please enter your name:
>->USER ***
> 331 User name okay, Need password.
>->PASS ***
> 230 User logged in.
>->PWD
> 257 "/" is current directory.
>->TYPE A
> 200 Type set to A.
>->PASV
> 227 Entering Passive Mode (218,47,181,14,15,160).
>->LIST
> 150 Opening ASCII mode data connection for /bin/ls (102 bytes).

> Error101: ファイル一覧を取得できません。
> ☆☆☆ テストは異常終了しました。☆☆☆

で、PORTモードでは、おかしな現象でした。

http://kkk.nu/

のOAKさん所のチェックでは問題ないのですが、こちらのサイトテストでは
ファイル一覧をなぜか所得出来ませんでした。メッセージが上記といっしょです。
単純に LIST-all か LIST かの違いなのかもしれませんが・・・。


No.378 投稿時間:2003年01月11日(Sat) 01:54 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:表面上は問題なさそうですが、データコネクションが張れていません。

> おやじ 様、色々ありがとうございます。もうID64がある限り設定しないと
> 大穴という事は判っているつもりなのですが、とりあえずPASV接続できな
> ければと半分イジになってしまっている(苦笑)のかもしれません。トホホ。
>
> 試験テストの別アップを忘れてました(^^;で、今もやってみましたが、
> こんな状態です。PASVモードでです。
>
> >220-FTPD Server
> > 220 Please enter your name:
> >->USER ***
> > 331 User name okay, Need password.
> >->PASS ***
> > 230 User logged in.
> >->PWD
> > 257 "/" is current directory.
> >->TYPE A
> > 200 Type set to A.
> >->PASV
> > 227 Entering Passive Mode (218,47,181,14,15,160).
> >->LIST
> > 150 Opening ASCII mode data connection for /bin/ls (102 bytes).
> >
> > Error101: ファイル一覧を取得できません。
> > ☆☆☆ テストは異常終了しました。☆☆☆
>
> で、PORTモードでは、おかしな現象でした。
>
> http://kkk.nu/
>
> のOAKさん所のチェックでは問題ないのですが、こちらのサイトテストでは
> ファイル一覧をなぜか所得出来ませんでした。メッセージが上記といっしょです。
> 単純に LIST-all か LIST かの違いなのかもしれませんが・・・。

 OAKさんの所ではPASVは問題ないでしょうか?だとすると、デーモンとの相性が悪いのかもしれません。今一自信がないところではあります。取り敢えず、モデム経由でおやじも試験しましたが、WarFTPDで何ら問題ありませんでした。現に、WarFTPdやProFTPd、Tinyでパスされている方が複数いますので、問題はないかと思ってはいるのですが。
 上記は、データコネクションが張れないエラーです。PASVで通知されたアドレスとポート番号(4000)は問題ありません。考えられるのは、NAPTの設定後、設定ボタンを押したか? ファイヤウォールで止まっているか? ぐらいですね。OSとデーモン(恐らくWarFTPdと思いますが)は何ですか?
 一般的には、LISTとLIST -allは同じはずです。デーモンによっては、設定でデフォルト動作を設定できますが。
取り敢えず、修正しておきますので、試してみてください。


No.379 投稿時間:2003年01月12日(Sun) 16:09 投稿者名:勉強中 URL:
タイトル:Re: 原因がはっきりしませんが出来ました

おやじ 様、こんにちは。親身にお教えていただきありがとうございます。
HPも隅から隅までプリントアウトしてしまいました(^^;。

で、その後いろいろやってみて、最後にOSまで再インストールしても
駄目でルーターのステルス機能をOFFにして、LANカードも変更したり
して、(カード変更は関係ないと思いますが(^^;)8000PROもリセット
したりして、ようやく突然出来るようになりました。(^^;

その後ステルスをonにしても出来ているのですが、何か原因不明での
結果となりました。これは私の推測ですが、DHCPで一度MACアドレスも
記憶してしまったLANカードは、DHCPを使わない設定で後でこちらで
決め打ちして一見正常でも、DHCPが覚えてしまっているのかもしれません。
データは一番最初きめ打ちの前にDHCPで所得したプライベートIPに流れて
いるようなフシがありました。

で、FTPdをいろいろ試してみましたので別記事で出しておきます。


No.380 投稿時間:2003年01月12日(Sun) 16:11 投稿者名:勉強中 URL:
タイトル:RaidenFTPD Ver2.4 Build106 結果

RaidenFTPD Ver2.4 Build106

>220-This server is for private use only
> 220-If you do not have access to this server
> 220-Please disconnect now
> 220 Please enter your login name now.
>->USER ***
> 331 Password required for 2ch .
>->PASS ***
> 230-全世界の日本人のみなさん、最速のFTPサーバーへようこそ!!
> 230-稲妻のごときスピート、1秒間に14400k
> 230-現在の時間:現在は 1 人のユーザーがオンラインしています。全部でUnlimited人までのユーザーの接続が可能です。
> 230-ユーザーは:2ch のグループ Administrator から 218.217.49.4 ログインしました
> 230-現在のディレクトリは /

> Error800: 無駄なメッセージが多すぎます。
> ☆☆☆ テストは異常終了しました。☆☆☆ (2003/01/12 15:48:24)

で終了しました。Raidenはコマンド一覧をすべて最初に出すので
このような結果になったと思います。リスト表示する前に終わって
しまったので、PASVで動作できたかどうか不明ですが、こちらの
環境で、別のグローバルIPからPASVで見えているので大丈夫だとは
思います。


No.381 投稿時間:2003年01月12日(Sun) 16:11 投稿者名:勉強中 URL:
タイトル:BlackMoonFTPD Ver2.4.1 Free板

> 220 BlackMoon FTP Server Version 2.4.1 Release 1 - Build 1680. Free Edition. Service Ready
>->USER 2ch
> 331 User name okay, need password.
>->PASS 2ch
> 230 User logged in, proceed.
>->PWD
> 257 "/" is the current directory
>->TYPE A
> 200 Command okay.
>->PASV
> 227 Entering Passive Mode (218,47,181,35,250,21).
>->LIST -alL
> 150 File status okay; about to open data connection.
> 226 Closing data connection. Transfer Complete (126 bytes)

キラ星FTPDです。完成度は非常に高く、転送レートも十分な結果が
出ています。ただし2バイト文字の扱いがログや画面を見ていても
対応していない2バイトのファイル名が化け化け状態なのが悲しい所
です。UIはトップクラスかもしれません。グラフ表示や一覧の動作状況
だけみると、他のFTPDの追随を許しません。使い勝手もそれほど悪く
ないです。

エラーが出ているのはテストファイルが無かった為です。ただし
リスト表示のコマンドによってディレクトリが見えない場合が有るようです。
上記は見えていなかったのかもしれませんね。
Tripodと同一のシステムを使っているようで、FFFTP等でデフォルトで
接続すると不可視ディレクトになってしまいます。(FFFTPのQ&Aに載ってます)

PASVの設定も任意にPort/PASV をEnable/Disable出来ます!。


No.385 投稿時間:2003年01月12日(Sun) 16:37 投稿者名:勉強中 URL:
タイトル:Re:KKKさんところでの表示は・・。

リスト表示の違いだろうと思います。

KKK さん所でテストしてみました。

>220 BlackMoon FTP Server Version 2.4.1 Release 1 - Build 1680. Free Edition. Service Ready
>Name (218.47.181.35:nobody): 2ch
>331 User name okay, need password.
>Password:
>230 User logged in, proceed.
>Remote system type is UNIX.
>Using binary mode to transfer files.
>ftp> ------ ftp start-------
>pwd
>257 "/" is the current directory
>ftp> passive
>Passive mode on.
>ftp> dir
>227 Entering Passive Mode (218,47,181,35,250,56).
>150 File status okay; about to open data connection.
>drwx------ 1 user group 0 Jan 12 16:33 down
>drwx------ 1 user group 0 Jan 12 16:33 up
>226 Closing data connection. Transfer Complete (126 bytes)
>ftp> bin
>200 Command okay.

という事で、 おやじ様の方の一覧の出し方がただ単にコマンドの
違いですね。

何かお役に立てればと思います。


No.383 投稿時間:2003年01月12日(Sun) 16:29 投稿者名:勉強中 URL:
タイトル:MoreFTPD Ver0.6 REL15 結果

MoreFTPD Ver0.6 REL15 です。

>220-MoreFTPD Server Test Driving Mode
> 220-Hello! This FTP Server is Test Driving Enjoy it!
> 220 Please enter your user name.
>->USER ***
> 331 User name okay, need password.
>->PASS ***
> 230 User logged in, proceed.
>->PWD
> 257 "/" is current directory.
>->TYPE A
> 200 Type set to A.
>->PASV
> 227 Entering Passive Mode (218,47,181,35,250,1).
>->LIST -alL
> 150 Opening ASCII mode data connection for list
> drwxrwxrwx 1 root wheel 0 Jan 12 01:02 .
> drwxrwxrwx 1 root wheel 0 Jan 12 01:02 ..
> drwxrwxrwx 1 root wheel 0 Jan 12 16:23 down
> drwxrwxrwx 1 root wheel 0 Jan 12 16:23 up
> 226 Closing data connection.

和製softですので、当然2バイト文字も化けも一切有りません。
ユーザーインターフェースは多少ややこしいですが、Raidenの設定に
慣れた人ならたいしたこと無いかもしれません(^^。

こちらも綺麗にPASVコネクションが張られています。リスト表示も
ご覧のとおり完全で、FTPクライアントも選ばないと思います。

まあ、BlackMoonFTPDがそういう意味では特異体質なのかもしれません。
10人以下で連続使用するならこのMoreFTPDは、世界最速の転送レートを
誇ります。


No.384 投稿時間:2003年01月12日(Sun) 16:30 投稿者名:勉強中 URL:
タイトル:GuildFTPD Ver0.999.6 結果

GuildFTPD Ver0.999.6 です。

> 220-GuildFTPD Ver0.000.6
> 220 Please enter your name:
>->USER ***
> 331 User name okay, Need password.
>->PASS ***
> 230 User logged in.
>->PWD
> 257 "/" is current directory.
>->TYPE A
> 200 Type set to A.
>->PASV
> 227 Entering Passive Mode (218,47,181,35,250,1).
>->LIST -alL
> 150 Opening ASCII mode data connection for /bin/ls (201 bytes).
> drwxrw-rw- 1 root root 0 Jan 12 2:39 .
> drwxrw-rw- 1 root root 0 Jan 12 2:39 ..
> drwxrw-rw- 1 root root 0 Jan 12 2:39 up
> drwxrw-rw- 1 root root 0 Jan 12 2:39 down
> 226 Transfer successful.

私の方では、実績安定共に、ダントツを誇ります。2バイト系の
ファイルで化けたことは一切有りません。リスト表示もFTPクライアント
の相性も極端に少ないと思います。転送レートのバッファ設定や
ユーザーインターフェース等、初心者にも非常に分かり易い
作りで好感が持てます。(私の方でも別FTPServerはこれを使って
います)

218,47,181,35,250,1 も計算値通りのPASVを空けたポートを
使っています。ドンピシャです。


No.386 投稿時間:2003年01月12日(Sun) 22:53 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:有用な情報ありがとうございます。テスト修正しました。

 こんばんは。

> おやじ 様、こんにちは。親身にお教えていただきありがとうございます。
> HPも隅から隅までプリントアウトしてしまいました(^^;。

 少しでもお役に立てれば幸いです。それより有用な情報をいろいろありがとうございます。

> で、その後いろいろやってみて、最後にOSまで再インストールしても
> 駄目でルーターのステルス機能をOFFにして、LANカードも変更したり
> して、(カード変更は関係ないと思いますが(^^;)8000PROもリセット
> したりして、ようやく突然出来るようになりました。(^^;
>
> その後ステルスをonにしても出来ているのですが、何か原因不明での
> 結果となりました。これは私の推測ですが、DHCPで一度MACアドレスも
> 記憶してしまったLANカードは、DHCPを使わない設定で後でこちらで
> 決め打ちして一見正常でも、DHCPが覚えてしまっているのかもしれません。
> データは一番最初きめ打ちの前にDHCPで所得したプライベートIPに流れて
> いるようなフシがありました。

 パソコンのネットワーク関係の設定をいじったときは、NT系なら再起動までは不要ですが、ときどきおかしくなることがありますね。おやじはW2Kですが、「ネットワークとダイヤルアップ接続」から、「ローカルエリア接続」、即ちLANの設定を一回無効にし再度有効にしています。これで、初期化されますので。

> で、FTPdをいろいろ試してみましたので別記事で出しておきます。

 Windows系でもいろいろなデーモンがあるんですね。それもPASV対応がうまくできており、どのデーモンもWarFTPdより簡単ですね。GuildFTPdが使いやすそうな気がします。Windowsユーザではないので、暇があったら日本語化してみたいと思います。メール関係で一つ問題を抱えているので、それが解決してからですかね。
 BlackMoonFTPDのLIST表示の件ですが、LIST表示の内容が項目とコードレベルで他のデーモンと少し違っており、LISTで取得できていました。表示できなかったのは、判定ロジックの問題であり、修正しましたので暇がありましたら、テストしてみてください。


No.389 投稿時間:2003年01月13日(Mon) 22:47 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:GuildFTPDの日本語化はできませんでした。

>  Windows系でもいろいろなデーモンがあるんですね。それもPASV対応がうまくできており、どのデーモンもWarFTPdより簡単ですね。GuildFTPdが使いやすそうな気がします。Windowsユーザではないので、暇があったら日本語化してみたいと思います。メール関係で一つ問題を抱えているので、それが解決してからですかね。

 チョット調べてみましたが、圧縮がかかっているようで日本語化はできないことがわかりました。



掲示板▲頁先頭