Top過去ログ目次掲示板

作成日:2007年11月27日 作成:おやじ
掲示板で過去に質問された内容です。

No.7343 FileZilla ServerでのIPフィルタについて


No.7343 投稿時間:2007年11月27日(Tue) 13:40 投稿者名:koichi URL:
タイトル:FileZilla ServerでのIPフィルタについて

いつも貴HPを参考にさせてもらっています。

表記の件につきまして、FTPクライアントの外部IPアドレス
(動的IPアドレス)をDDNSに登録し、
IPフィルタに当該DDNSのドメイン名(ホスト名)を許可
IPに指定して、接続可能なFTPクライアントを制限しよう
としているのですが、
「550 No connections allowedfrom your IP」と
なってしまいます。

 ・使用DDNS:http://www.ieserver.net/
 ・使用ドメイン:dip.jp
 ・DDNS更新アプリ:DiCEフリーバージョン
 ・FileZillaServerバージョン:0.9.23
 ・OS:WindowsServer2003R2

許可IPには「192.168.1.* /xxx.dip.jp/」と指定して
いるのですが、他に設定すべき項目/環境等があるので
しょうか?

そもそも上記制限が可能なのか、設定等のアドバイスを
もらえるとありがたいです。


No.7344 投稿時間:2007年11月27日(Tue) 20:45 投稿者名:おやじ URL:
タイトル:DNSは確認済みですか?

> 表記の件につきまして、FTPクライアントの外部IPアドレス
> (動的IPアドレス)をDDNSに登録し、
> IPフィルタに当該DDNSのドメイン名(ホスト名)を許可
> IPに指定して、接続可能なFTPクライアントを制限しよう
> としているのですが、
> 「550 No connections allowedfrom your IP」と
> なってしまいます。
>
>  ・使用DDNS:http://www.ieserver.net/
>  ・使用ドメイン:dip.jp
>  ・DDNS更新アプリ:DiCEフリーバージョン
>  ・FileZillaServerバージョン:0.9.23
>  ・OS:WindowsServer2003R2
>
> 許可IPには「192.168.1.* /xxx.dip.jp/」と指定して
> いるのですが、他に設定すべき項目/環境等があるので
> しょうか?

設定は、上記しかありません。不許可に0.0.0.0/0.0.0.0を入れて上記設定をすれば許可設定したIP以外からは接続できません。
おやじなら、この状況でまず一番最初に疑うのが、サーバ機で xxx.dip.jp でDNSを牽いたとき(nslookup)したときに、本当にクライアントのグローバルアドレスが牽けるかどうかです。
というより、それが不一致になっている以外に理由はないと思いますが・・・。


No.7346 投稿時間:2007年11月29日(Thu) 17:10 投稿者名:koichi URL:
タイトル:Re: DNSは確認済みですか?

> 設定は、上記しかありません。不許可に0.0.0.0/0.0.0.0を入れて上記設定をすれば許可設定したIP以外からは接続できません。
> おやじなら、この状況でまず一番最初に疑うのが、サーバ機で xxx.dip.jp でDNSを牽いたとき(nslookup)したときに、本当にクライアントのグローバルアドレスが牽けるかどうかです。
> というより、それが不一致になっている以外に理由はないと思いますが・・・。

ご回答ありがとうございます。 大変助かります。

nslookupで確認しましたが、期待したIPアドレスが牽けました。
FileZillaSeverは0.9.23をアンインストールせずに0.9.24インスト
ールして、再度クライアントPCのDOSプロンプトftpコマンドで、
「ftp xxx.dip.jp」とやってみたのですが「550」メッセージが
出ました。
 ・どなたか、DDNSを使って使用制限を行っている方でDDNS名や
  設定(特に許可側)を差し支えない範囲で教えてもらえると
  ありがたいです。


No.7347 投稿時間:2007年11月29日(Thu) 23:12 投稿者名:おやじ URL:
タイトル:何をされているのか、皆目検討がつきません。

> > 設定は、上記しかありません。不許可に0.0.0.0/0.0.0.0を入れて上記設定をすれば許可設定したIP以外からは接続できません。
> > おやじなら、この状況でまず一番最初に疑うのが、サーバ機で xxx.dip.jp でDNSを牽いたとき(nslookup)したときに、本当にクライアントのグローバルアドレスが牽けるかどうかです。
> > というより、それが不一致になっている以外に理由はないと思いますが・・・。
>
> ご回答ありがとうございます。 大変助かります。
>
> nslookupで確認しましたが、期待したIPアドレスが牽けました。
> FileZillaSeverは0.9.23をアンインストールせずに0.9.24インスト
> ールして、再度クライアントPCのDOSプロンプトftpコマンドで、
> 「ftp xxx.dip.jp」とやってみたのですが「550」メッセージが
> 出ました。

何をされているのでしょうか? 皆目検討がつきません。
「xxx.dip.jp」はクライアントのホスト名と思っていましたが、ここではクライアントから「「ftp xxx.dip.jp」とやってみた」???
とは、どういうことでしょうか?
おやじは、クライアントとサーバ機はインターネットを介して接続してあり、ホスト名が「xxx.dip.jp」のクライアントから、サーバ機のFileZillaにアクセス(アクセス方法がホスト名だろうがグローバルアドレスだろうが今回の問題(クライアントからのアクセスをホスト名で規制)には何も関係ないので気にする必要はない)したときに、「xxx.dip.jp」で規制したい、というのが要件と思っていましたが違うのですか?
まさか、インターネットを介さずに同一LAN内にクライアントとサーバがいる環境で、「「ftp xxx.dip.jp」とやってみた」のではないですよね。

>  ・どなたか、DDNSを使って使用制限を行っている方でDDNS名や
>   設定(特に許可側)を差し支えない範囲で教えてもらえると
>   ありがたいです。

DDNSかどうか、外部からのアクセスかどうかは関係なく、肝は、「サーバ機でDNSを正引きしたときのIPアドレスを持つ端末からのみアクセス許可する」ということだけであり、それならば、上記のとおりの設定でできます。
家庭内ですが、おやじのサーバ-クライアント環境で確認済みです。


No.7348 投稿時間:2007年11月30日(Fri) 10:42 投稿者名:koichi URL:
タイトル:Re: 何をされているのか、皆目検討がつきません。

> 何をされているのでしょうか? 皆目検討がつきません。
> 「xxx.dip.jp」はクライアントのホスト名と思っていましたが、ここではクライアントから「「ftp xxx.dip.jp」とやってみた」???
> とは、どういうことでしょうか?

すみません。 「ftp xxx.dip.jp」は間違いで、xxx.dip.jpから
「ftp yyy.dip.jp」を行いました。(ftpコマンドでサーバに
接続したことを言いたかったのです。)
 ・xxx.dip.jpとyyy.dip.jpは別プロバイダにつながっている
  クライアントとサーバです。

ルータ(ゲートウェイ)のログを見ると、サーバ機からnslookupを
行った場合、DNSを検索するログが出るのですが、xxx.dip.jpから
FileZillaServerに接続するとFileZillaServerからDNS検索をおこ
なった形跡(ルータのログ)が無いのです。
 −>なんらかの原因で検索していない、もしくはログにとられて
   いない通信(検索)をしている。

解決策を模索しますので、一旦当スレッドを閉じさせていただき
ます。
 −>解決策がみつかった場合、当スレッドに書き込む予定です。
ftpサーバもFileZillaだけでなく、他のものも試してみようと思
います。

お時間をさいていただきありがとうございました。


No.7349 投稿時間:2007年11月30日(Fri) 11:32 投稿者名:おやじ URL:
タイトル:原因判明。結論としては、残念ながらやりたいことはできません。

> > 何をされているのでしょうか? 皆目検討がつきません。
> > 「xxx.dip.jp」はクライアントのホスト名と思っていましたが、ここではクライアントから「「ftp xxx.dip.jp」とやってみた」???
> > とは、どういうことでしょうか?
>
> すみません。 「ftp xxx.dip.jp」は間違いで、xxx.dip.jpから
> 「ftp yyy.dip.jp」を行いました。(ftpコマンドでサーバに
> 接続したことを言いたかったのです。)
>  ・xxx.dip.jpとyyy.dip.jpは別プロバイダにつながっている
>   クライアントとサーバです。

自分のサーバではないので、提示された数少ない情報をたよりに、書き込まれた方の環境を頭の中でシュミレーションしているので、こういうポイントになる情報が誤っていると頭の中で描いていた状況がガタガタになってしまうので、正確に記載してください。

> ルータ(ゲートウェイ)のログを見ると、サーバ機からnslookupを
> 行った場合、DNSを検索するログが出るのですが、xxx.dip.jpから
> FileZillaServerに接続するとFileZillaServerからDNS検索をおこ
> なった形跡(ルータのログ)が無いのです。
>  −>なんらかの原因で検索していない、もしくはログにとられて
>    いない通信(検索)をしている。

ふと、これが気になってパケットキャプチャしてみた結果、原因がわかりました。
結論からいうと、DDNS環境でホスト名で相手を特定して規制することはできません。
それは、Filezillzはクライアントからアクセスがあると、アクセスしてきたIPアドレスを逆引きし、得られたホスト名を登録してあるホスト名と正規表現でマッチングをとる方式だからです。
動的IP(単一IP)の場合、当然、逆引きすれば契約しているプロバイダのアドレスが返ってくるので、マッチングしないことになります。おやじの家庭内は、正引き、逆引きができるので気がつきませんでした。(やはりパケットキャプチャは、こういうトラブル追求時の基本ですね。)
考えてみれば当たりまえで、少なくともワイルドカードが使える正規表現でマッチングをとる方式なら、登録された内容で正引きできるわけがないので、当然こういう作りになりますね。従って、WarFTPDもそうなります。
恐らく期待することができる方法を見つけるのは、きつそうですね。


No.7353 投稿時間:2007年12月05日(Wed) 15:40 投稿者名:koichi URL:
タイトル:Re: 原因判明。結論としては、残念ながらやりたいことはできません。

> 恐らく期待することができる方法を見つけるのは、きつそうですね。

パケットキャプチャまでしていただきありがとうございます。
また、お返事をいただいていたのに返信が遅くなり、申し訳
ありません。

現在、LINUX系のftpサーバでもできないか調査中です。
 ・DNS逆引きやRFC1413等、クライアントからユーザID/パス
  ワードを入力する前に制限できるものをてあたりしだい
  調査しているところです。
  (proftpdがいいのかなと思っているところです。)

結果が出次第、また書き込みます。


No.7429 投稿時間:2008年01月21日(Mon) 15:46 投稿者名:koichi URL:
タイトル:Re^2: 原因判明。結論としては、残念ながらやりたいことはできません。

> 結果が出次第、また書き込みます。

反則技かもしれませんが、SoftEther社のVPN(PacketiX-VPN)
経由で行うことにしました。
 ・クライアント証明書による認証や通信経路の暗号化がFTPの
  サーバ/クライアントの各プログラムに特別なものがいらな
  いため。
 ・会社でVPNを構築したため。

これで少しFTP環境の構築が進みそうです。

これでやっと、当スレッドがCLOSEできます。
アドバイス等ご協力ありがとうございました。



掲示板▲頁先頭