Top過去ログ目次掲示板

作成日:2004年09月13日 作成:おやじ
掲示板で過去に質問された内容です。

No.3566 proftpdの設定について


No.3566 投稿時間:2004年09月13日(Mon) 04:16 投稿者名:else URL:
タイトル:proftpdの設定について

おやじ様、はじめまして。

RedHatLinux9にproftpd-1.2.10をインストールしたのですが、
LAN内のWindowsXPからログインは出来るものの
ファイル一覧が取得できません。

Dosプロンプトでログインはできるのですが、
“lsコマンド”を打つと
「425 Unable to build data connection: Connection refused」
というエラーが出ました。
FFFTPからログインしたら、
「ファイル一覧がダウンロードできませんでした。」
というエラーが出ました。

おやじ様のHPを発見する前に別のHPを参考に、
ソースからインストールしました。
インストール方法は、
# tar -zxvf proftpd-1.2.10.tar.gz
# cd proftpd-1.2.10
# ./configure
# make
# make install
です。

/usr/local/etc/profile.confの変更箇所は、
Server_type = standalone → Server_type = inetd
Group = nogroup → Group = nobody
です。

あと、/etc/xinetd.d/直下に、
ファイル名ftpで内容は
service ftp
{
disable = no
socket_type = strearm
protcol = tcp
wait = no
user = root
server = /usr/local/sbin/in.poftpd
}
を追加しました。

過去ログを見ているとルーターも影響するようなのですが、
うちで使っているルーターは
ELECOM LD-BBR4M3(ファームウェア最新)です。
特に設定は行っておりません。

WindowsXPのファイヤーウォールはZoneAlamを使用していますが、
停止した状態でも変化はありませんでした。

ちなみにTELNETもしくはLinux上のターミナルから接続したら、
FTPは正常に動作しました。
WindowsXPからのTELNETも正常動作しております。

おやじ様のFTP Testを行ったのですが、
PassiveモードとActiveモードの両方がタイムアウトしてしまいました。
私には両者の違いはわかりませんが、
一応テストしてみました。

変更したファイルやインストール方法等、
思いつく事を全て書いたのですが、
なにか不足していたらご指摘下さい。

解決策をお知りの方教えて下さい。
お願いします。


No.3567 投稿時間:2004年09月13日(Mon) 13:38 投稿者名:else URL:
タイトル:Re: proftpdの設定について

FFFTPの設定で、
“PASVモードを使う”
“LISTコマンドでファイル一覧を取得”
にする事でファイル一覧が取得できました。

板汚してすみません。


No.3570 投稿時間:2004年09月13日(Mon) 20:31 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:板汚しとは全く思いません。

> FFFTPの設定で、
> “PASVモードを使う”
> “LISTコマンドでファイル一覧を取得”
> にする事でファイル一覧が取得できました。
>
> 板汚してすみません。

別に気にする必要はありません。おやじは、こういうのは板汚しとは全く思いません。
何故なら、問題点と解決策がこのスレである程度分かるからです。自分で解決されたとしても後から見る人にとっては、十分に役たつ情報だからです。
それよりも、最近のスレは尻切れトンボが多いですね。問題が解決したのか?しないのか?スレを建て方以外は結果が分からないので、後で見ても何の役にも立ちません。
皆さんが遭遇したトラブルをBBSを使って疑似体験して、勉強してスキルアップするのがおやじの目的なのですが、結果がわからないので、無い頭と時間を費やしただけで非常に空しく感じてます。

ところで、解決したのでよさそうなものですが、解決した理由が明確でないと、知識としては後々役に立たないので少し気になることがあるので教えてください。

上記でうまくいったのは家庭内での話だと思うのですが、何故PASVという条件がつくのか理解できません。
通常、家庭内(サーバとクライアントが同一セグメント内にいる環境)でこういう条件がつくことはまずあり得ません。考えられるのは、クライアント側のファイヤウォールぐらいなのですが、何か思い当たりませんか? クライアントがWindowsXPとのこと。SP2をあててませんか?SP2を入れるとセキュリティでファイヤウォールが動作するようになりますが、このファイヤウォールは実にヘボなのですがいくらなんでもActiveモードのクライアント側動作は遮断したりはしませんので何が原因なのか?
LISTコマンドの件も少し引っかかります。確かに、proftpd-1.2.10rc1以降、NLSTコマンドではオプション付きでも詳細データが送られて来ず(RC1はバグで501エラーになってましたが、いまはそういうことはありません)実質NLSTが使えなくなったため、ほとんどのFTPクライアントでLISTコマンド使用に設定変更が必要になりました。(国内で一番使われているであろうFFFTPもデフォルトのままでは駄目)
従って、この問題かなと一瞬思ったのですが、エラーコードが425なのでこの問題ではないと思っていたのですが?
この425エラーは単純にデータコネクションが張れないときのエラーですから、これも上記のファイヤウォールが原因ということは無いですかね。そうであれば、PASVにしただけで、うまく動作するはずですが・・・?

なお、NLSTの件は前から気になっていたのですが今回のようなこともあるので、各Proftpdのコンテンツの冒頭に追記しました。

外部からはU-mexさんがおっしゃるように、21番をポートマッピングすればActiveモードは大丈夫なはずです。ところが、前述のようにPASVでないと駄目だとすると、ルータにもよりますが、ProftpdのNAT対策が必要になります。
全て、HP上にありますので良く見てください。


No.3575 投稿時間:2004年09月14日(Tue) 12:11 投稿者名:else URL:
タイトル:Re: 板汚しとは全く思いません。

> 上記でうまくいったのは家庭内での話だと思うのですが、何故PASVという条件がつくのか理解できません。
> 通常、家庭内(サーバとクライアントが同一セグメント内にいる環境)でこういう条件がつくことはまずあり得ません。考えられるのは、クライアント側のファイヤウォールぐらいなのですが、何か思い当たりませんか? クライアントがWindowsXPとのこと。SP2をあててませんか?SP2を入れるとセキュリティでファイヤウォールが動作するようになりますが、このファイヤウォールは実にヘボなのですがいくらなんでもActiveモードのクライアント側動作は遮断したりはしませんので何が原因なのか?

まったくの初心者なもので、
PassiveモードとActiveモードの違いが私にはわからないのですが、
ファイヤーウォールは前述したようにZoneAlarmを使用しています。
現在はZoneAlarmを起動したままでもFTPへはアクセスできています。
試しにFFFTPのPassiveモードをやめ、
LISTコマンドで一覧を取得だけにしてみたところ、
「425 Unable to build data connection: Connection refused」
となりました。

WindowsXPの件ですが、SP2は導入していませんし、
ファイヤーウォール機能もOFFになっています。


> LISTコマンドの件も少し引っかかります。確かに、proftpd-1.2.10rc1以降、NLSTコマンドではオプション付きでも詳細データが送られて来ず(RC1はバグで501エラーになってましたが、いまはそういうことはありません)実質NLSTが使えなくなったため、ほとんどのFTPクライアントでLISTコマンド使用に設定変更が必要になりました。(国内で一番使われているであろうFFFTPもデフォルトのままでは駄目)
> 従って、この問題かなと一瞬思ったのですが、エラーコードが425なのでこの問題ではないと思っていたのですが?
> この425エラーは単純にデータコネクションが張れないときのエラーですから、これも上記のファイヤウォールが原因ということは無いですかね。そうであれば、PASVにしただけで、うまく動作するはずですが・・・?

FFFTPの設定でPassiveモードだけにしてやってみたところ、
(LISTコマンドで一覧取得をしない)
FFFTP上では「ファイル一覧の取得は正常終了しました.」
と表示はされるものの一覧はまったくでませんでした。
階層を移動しても同一の現象でまったくファイルやディレクトリが見えません。
ファイヤーウォール(ZoneAlarm)のON/OFFでは特に変化はありませんでした。



> なお、NLSTの件は前から気になっていたのですが今回のようなこともあるので、各Proftpdのコンテンツの冒頭に追記しました。
>
> 外部からはU-mexさんがおっしゃるように、21番をポートマッピングすればActiveモードは大丈夫なはずです。ところが、前述のようにPASVでないと駄目だとすると、ルータにもよりますが、ProftpdのNAT対策が必要になります。
> 全て、HP上にありますので良く見てください。
はい、ありがとうございます。
参考にというか、勉強させて頂きます。(*^^*)


No.3576 投稿時間:2004年09月14日(Tue) 19:57 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:やはり良くわかりません。

> > 上記でうまくいったのは家庭内での話だと思うのですが、何故PASVという条件がつくのか理解できません。
> > 通常、家庭内(サーバとクライアントが同一セグメント内にいる環境)でこういう条件がつくことはまずあり得ません。考えられるのは、クライアント側のファイヤウォールぐらいなのですが、何か思い当たりませんか? クライアントがWindowsXPとのこと。SP2をあててませんか?SP2を入れるとセキュリティでファイヤウォールが動作するようになりますが、このファイヤウォールは実にヘボなのですがいくらなんでもActiveモードのクライアント側動作は遮断したりはしませんので何が原因なのか?
>
> まったくの初心者なもので、
> PassiveモードとActiveモードの違いが私にはわからないのですが、
> ファイヤーウォールは前述したようにZoneAlarmを使用しています。
> 現在はZoneAlarmを起動したままでもFTPへはアクセスできています。
> 試しにFFFTPのPassiveモードをやめ、
> LISTコマンドで一覧を取得だけにしてみたところ、
> 「425 Unable to build data connection: Connection refused」
> となりました。

PASVがうまくいって、ActiveがList取得で425になるのは、LISTコマンドがどうのこうのは関係ありません。NLSTでも同じで425になるはず。
PASVはクライアントからサーバにデータコネクションを張るのに対して、Activeはサーバから20番をソースポートとするデータコネクションを張るというように、通信の方向性が全く逆になります。そこで、Activeの場合はどちらかといえばクライアントから見ると外部から侵入してくる通信のため、ファイヤウォールが原因かなと思ったしだいです。(このあたりはHPに書いてあります)
 FTPサーバに繋がるところまでは、PASVもActiveも動作は何も違いはありませんから、「ZoneAlarmを起動したままでもFTPへはアクセスできています」というのは、PASVかActiveかを議論する場合意味がありません。問題なのは、LIST取得のときの通信の方向で、Activeの場合はクライアント側要因でうまくいかなくなる可能性があり、PASVはサーバ側要因で失敗する可能性が高くなります。ZoneAlarmを止めても駄目ですか?


> WindowsXPの件ですが、SP2は導入していませんし、
> ファイヤーウォール機能もOFFになっています。

 了解しましたが、上記現象が発生するのは、おやじが今まで伝えていただいた情報では、クライアント側でサーバからのデータコネクション接続がブロックされているぐらいしか思い当たることはありません。

> > LISTコマンドの件も少し引っかかります。確かに、proftpd-1.2.10rc1以降、NLSTコマンドではオプション付きでも詳細データが送られて来ず(RC1はバグで501エラーになってましたが、いまはそういうことはありません)実質NLSTが使えなくなったため、ほとんどのFTPクライアントでLISTコマンド使用に設定変更が必要になりました。(国内で一番使われているであろうFFFTPもデフォルトのままでは駄目)
> > 従って、この問題かなと一瞬思ったのですが、エラーコードが425なのでこの問題ではないと思っていたのですが?
> > この425エラーは単純にデータコネクションが張れないときのエラーですから、これも上記のファイヤウォールが原因ということは無いですかね。そうであれば、PASVにしただけで、うまく動作するはずですが・・・?
>
> FFFTPの設定でPassiveモードだけにしてやってみたところ、
> (LISTコマンドで一覧取得をしない)
> FFFTP上では「ファイル一覧の取得は正常終了しました.」
> と表示はされるものの一覧はまったくでませんでした。
> 階層を移動しても同一の現象でまったくファイルやディレクトリが見えません。
> ファイヤーウォール(ZoneAlarm)のON/OFFでは特に変化はありませんでした。

 これは、PASVにしないと425エラーになる件を除き、この内容で正解です。おやじの「そうであれば、PASVにしただけで、うまく動作するはずですが・・・?」は、無視してください。すみませんが、何を伝えるために書いたのか分からなくなってしまいました。


No.3582 投稿時間:2004年09月15日(Wed) 15:12 投稿者名:else URL:
タイトル:Re: やはり良くわかりません。

> PASVがうまくいって、ActiveがList取得で425になるのは、LISTコマンドがどうのこうのは関係ありません。NLSTでも同じで425になるはず。
> PASVはクライアントからサーバにデータコネクションを張るのに対して、Activeはサーバから20番をソースポートとするデータコネクションを張るというように、通信の方向性が全く逆になります。そこで、Activeの場合はどちらかといえばクライアントから見ると外部から侵入してくる通信のため、ファイヤウォールが原因かなと思ったしだいです。(このあたりはHPに書いてあります)
>  FTPサーバに繋がるところまでは、PASVもActiveも動作は何も違いはありませんから、「ZoneAlarmを起動したままでもFTPへはアクセスできています」というのは、PASVかActiveかを議論する場合意味がありません。問題なのは、LIST取得のときの通信の方向で、Activeの場合はクライアント側要因でうまくいかなくなる可能性があり、PASVはサーバ側要因で失敗する可能性が高くなります。ZoneAlarmを止めても駄目ですか?

Activeモードがサーバ側からアクセスしてくるということで、
ちょっと思い当たる事がありました。
それは、TCP/IPフィルタリングです。
現在の設定はTCP/IPフィルタリングが有効で、
・TCPポート 一部許可する(ポート番号指定無し)
・UDPポート すべて許可する(ポート番号指定無し)
・IPプロトコル 一部許可する(ポート番号指定無し)
となっています。
試しにTCP/IPフィルタリングを無効にして、
Activeモードで接続したところ成功しました。(*^^*)

このような設定になっているのは、
この設定じゃないと書き込めない掲示板があるからです。
そこのHPの設定方法に基づいてこのようになっています。
(不正プロキシ防止の為、ポートチェックを行っているそうです。)
書き込みできなくなるのは痛いので、
PASVモードでFTPサーバに接続することにします。

私の勉強不足な為、おやじ様にはいろいろご迷惑をおかけしましたが、
大変勉強になりました。
これからもよろしくお願い致します。


No.3583 投稿時間:2004年09月15日(Wed) 20:39 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:納得されたのなら・・・

> Activeモードがサーバ側からアクセスしてくるということで、
> ちょっと思い当たる事がありました。
> それは、TCP/IPフィルタリングです。
> 現在の設定はTCP/IPフィルタリングが有効で、
> ・TCPポート 一部許可する(ポート番号指定無し)
> ・UDPポート すべて許可する(ポート番号指定無し)
> ・IPプロトコル 一部許可する(ポート番号指定無し)
> となっています。
> 試しにTCP/IPフィルタリングを無効にして、
> Activeモードで接続したところ成功しました。(*^^*)
>
> このような設定になっているのは、
> この設定じゃないと書き込めない掲示板があるからです。
> そこのHPの設定方法に基づいてこのようになっています。
> (不正プロキシ防止の為、ポートチェックを行っているそうです。)
> 書き込みできなくなるのは痛いので、
> PASVモードでFTPサーバに接続することにします。

どう考えても理解できない内容(フィルタなしではNGでフィルタありでポート指定なしならOKというポートスキャンとは? 逆なら理解できますが?)ですが、ご自身が納得されているようですから、このあたりで打ち止めということに・・。


No.3568 投稿時間:2004年09月13日(Mon) 13:45 投稿者名:U-mex URL:http://http://u-mex.plala.jp
タイトル:Re: 2点が挙げられると思います。

> FFFTPからログインしたら、
> 「ファイル一覧がダウンロードできませんでした。」
> というエラーが出ました。

おやじ殿のHPにproftpdの注釈を読めば判るはずです。

http://www.aconus.com/~oyaji/ftp/download.htm

> 過去ログを見ているとルーターも影響するようなのですが、
> うちで使っているルーターは
> ELECOM LD-BBR4M3(ファームウェア最新)です。
> 特に設定は行っておりません。
>
> (中略)
>
> おやじ様のFTP Testを行ったのですが、
> PassiveモードとActiveモードの両方がタイムアウトしてしまいました。

ポートフォワーディングの設定をしてポートを開けないと、外部からアクセス出来ないはずです。
ググって見ると、取説の P49に載ってあるようなので設定して下さい。


No.3569 投稿時間:2004年09月13日(Mon) 13:56 投稿者名:else URL:
タイトル:Re^2: 2点が挙げられると思います。

> おやじ殿のHPにproftpdの注釈を読めば判るはずです。
>
> http://www.aconus.com/~oyaji/ftp/download.htm
自分で他サイトからソースをダウンロードして
インストールしてしまったので、
まったく気付きませんでした。
すみません。

> ポートフォワーディングの設定をしてポートを開けないと、外部からアクセス出来ないはずです。
> ググって見ると、取説の P49に載ってあるようなので設定して下さい。
取説見て設定してみます。
U-mex様、ありがとうございました。



掲示板▲頁先頭