Top過去ログ目次掲示板

作成日:2003年11月19日 作成:おやじ
掲示板で過去に質問された内容です。

No.1970 ProFTPD+SSL/TSLについて


No.1970 投稿時間:2003年11月19日(Wed) 02:16 投稿者名:ねあん URL:
タイトル:ProFTPD+SSL/TSLについて

いつもお世話になってます。
質問は始めてなのですが、よろしくお願いします。
勘違いしている部分が多分に含まれると思いますがご容赦下さいm__m

おやじさま執筆のセキュアFTPサーバーの構築(ProFTPD+SSL/TSL)のページにある記述、

>[重要] SSLでアクセスすると、インターネット側からはActiveモードが使えなくなります。これは、ルータが>PORTコマンド内のサーバのアドレスを変換できなくなる(SSL化により暗号化される)ためで、サーバのプラーベー>トアドレスがそのまま中継されてしまうからです。ルータ環境下では対処方法はありませんが、PASVは問題なく使>用できるので、何ら問題はないはずです。

という部分がいまいち理解できません。Activeモードが使えなくなるという理屈はなんとなくわかります。
Activeモードではデータの方向が最初、サーバー→ルータ→クライアントだからサーバー→ルータの時点で送信データがヘッダを含めSSLで暗号化されてしまうため送信元の部分を書きかえることができずにエラーになるということでいいんですよね?(すでに勘違いしている気が・・・)
でもそれだと逆?のPASVモードでも同じことがいえるんじゃないのでしょうか?
クライアント→ルータ→サーバーのルータの時点で送信先をプライベートアドレスに書きかえることができないと思うのですが、、、、、書いてて勘違いを確信してきました。
でもうまく掴みきれません。
どなたかご教授下さい。
お願いします


No.1971 投稿時間:2003年11月19日(Wed) 05:49 投稿者名:ねあん URL:
タイトル:お詫びetc

すみません。少し調べたらページ内に解説がありました・・・・・・
つまらないことで騒いで申し訳ありません。
と、ここでまた質問がでてきたのですが、よろしいでしょうか?
FTPサーバの公開ページの記述、
>自宅サーバ側のNATルータが自宅サーバを考慮し、LAN側からの20番ポート接続をマスカレードしなければ、通信は
>可能となる。
のLAN側からの20番ポート接続をマスカレードしない設定とは具体的にどうすればよいのでしょうか?
私の使用しているルータにはスタティックNATの設定はありますがマスカレードうんぬんについての設定はできなかったように思うのですが、この場合どうすればよいでしょうか?


No.1975 投稿時間:2003年11月19日(Wed) 21:49 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:二つ纏めてですが。

こんばんは。

 二つ纏めてですが。

> >[重要] SSLでアクセスすると、インターネット側からはActiveモードが使えなくなります。これは、ルータが>PORTコマンド内のサーバのアドレスを変換できなくなる(SSL化により暗号化される)ためで、サーバのプラーベー>トアドレスがそのまま中継されてしまうからです。ルータ環境下では対処方法はありませんが、PASVは問題なく使>用できるので、何ら問題はないはずです。
>
> という部分がいまいち理解できません。Activeモードが使えなくなるという理屈はなんとなくわかります。
> Activeモードではデータの方向が最初、サーバー→ルータ→クライアントだからサーバー→ルータの時点で送信データがヘッダを含めSSLで暗号化されてしまうため送信元の部分を書きかえることができずにエラーになるということでいいんですよね?(すでに勘違いしている気が・・・)
> でもそれだと逆?のPASVモードでも同じことがいえるんじゃないのでしょうか?
> クライアント→ルータ→サーバーのルータの時点で送信先をプライベートアドレスに書きかえることができないと思うのですが、、、、、書いてて勘違いを確信してきました。

お判りにになったということですが、一応補足しておきますと、

1. Activeモードが使えなくなるのは、クライアントからサーバに向けて通知されるport
 コマンド内にあるクライントのアドレス(家庭内のプライベート)を、通常はルータが
 NAT変換とともに、FTP通信を意識してWAN側のグローバルアドレスに変換してくれるの
 で、ActiveモードでNAT環境で通信できている。しかし、SSL化するとルータは中身を
 見ることができないので、サーバにはそのままプライベートアドレスが通知されてしま
 うので、通信できなくなってしまう。(方向が逆です。)
2. PASVモードの場合、クライアントからのPASVコマンドの応答でサーバからクライアン
 トに待ち受け情報としたアドレス(プライベート)を通知するが、PASV対応ルータではこ
 れをNAT変換とともに、WAN側のアドレスに変換しているので通信ができる。但し、SSL
 化するとActiveの時のクライアントと同様変換できないので通信できない。従って、こ
 のようなルータに頼らずに、ProFTPd側で予めWAN側アドレスを通知してあげれば、クラ
 イアントはサーバのWAN側アドレスめがけてパケットを投げてくるので通信ができるよ
 うになる。

 つまり、ルータ機能に頼ってPASV公開している方は、SSL化はできないということです。


> FTPサーバの公開ページの記述、
> >自宅サーバ側のNATルータが自宅サーバを考慮し、LAN側からの20番ポート接続をマスカレードしなければ、通信は
> >可能となる。
> のLAN側からの20番ポート接続をマスカレードしない設定とは具体的にどうすればよいのでしょうか?
> 私の使用しているルータにはスタティックNATの設定はありますがマスカレードうんぬんについての設定はできなかったように思うのですが、この場合どうすればよいでしょうか?

 どうしようもありません。このあたりを設定できるBBRは無いと思うので、余計なことを
しないルータに変えるしか手がありません。
 ただ、このあたりは明確に仕様で歌われていないので、購入してから気がつくことが多いですね。
 おやじの考えは、「ルータはルーティングに徹すればよく、レイヤ3より上には手をだすな」です。
自分のやりたいように制御するには、レイヤ3以下はしっかりと、それ以上はシンプルなものがいいと
思っています。
Docomo対策でお世話になったかつさんは、これがいやで、Linuxルータに乗り換えたくらいです。


No.1977 投稿時間:2003年11月20日(Thu) 01:04 投稿者名:ねあん URL:
タイトル:お礼

おやじさま、詳細な解説ありがとうございます。
おかげさまですっきりと疑問を飲み下すことができました^^
おやじさまの益々のご活躍をお祈り申し上げます。
これからも執筆等がんばってください!

Linuxルータについては以前導入を考えたこともありましたが、
空いているマシンの性能では通信速度に不安(低スペックだと速度がでないとどこかで読みました)
があることと、ファンとHDの騒音が悩みのたねで結局あきらめました(スキル不足も理由の一つではありますが)。
これを機にチャレンジしてみようかと思います。

お世話になりました!



掲示板▲頁先頭