Top過去ログ目次掲示板

作成日:2003年02月19日 作成:おやじ
掲示板で過去に質問された内容です。

No.515 FTPテストについて


No.515 投稿時間:2003年02月19日(Wed) 20:21 投稿者名:神風 URL:
タイトル:FTPテストについて

はじめまして。FTPテストを何度か使用させていただきました。

WarFTPの設定を変えていないのに、昨日と今日ではだいぶ結果が異なるようです。
昨日はエラーはありませんでしたが、.bakが帰ってこず、今日はエラーがでましたが
.bakが帰ってきました(今日のログが下)。でもテストファイルはSENDされていません。謎です。

nat.confは既存のやつを、ラスト行:#Port 0、#PortRange 4440-4450に変えて使ってます。
ルーターは、DMZ仕様で試しました。
ご教授よろしくお願いします。

ホスト(218.217.x.x)のポート(21)に接続中です。(2003/02/19 20:03:00)

Connected to 218.217.x.x (218.217.x.x).
220-Jgaa's Fan Club FTP service
WarFTPd 1.81.03 (Dec 19 2002) Ready
(C)opyright 1996 - 2002 by Jarle (jgaa) Aase - all rights reserved.
220 Please enter your user name.
Name (218.217.x.x:nobody): ---> USER xxx
331 User name okay, need password.
---> PASS XXXX
230 User logged in.
---> SYST
215 UNIX Type: L8 Server: "WarFTPd 1.81.03" OS: "WIN32 (Windows 2000 5.0 2195 Pentium II 1-CPU)"
Remote system type is UNIX.
Using binary mode to transfer files.
---> PWD
257 "/" is current directory.
---> TYPE A
200 Type set to A.
---> PASV
227 Entering Passive Mode (218,217,x,x,17,92).
---> LIST
125 Using existing ASCII mode data connection for /bin/ls (421 bytes).

Error101: ファイル一覧を取得できません。
☆☆☆ テストは異常終了しました。☆☆☆ (2003/02/19 20:03:02)


No.516 投稿時間:2003年02月19日(Wed) 21:16 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:ご連絡ありがとうございました。おやじのミスです。

こんばんは。

 大変申し訳けありません。オチョコチョイおやじのミスです。
 昨晩から、テストプログラムを改善?(直前までは改悪でした)して、昔のように異常原因を
お知らせできるようにしました。全てテストしたつもりだったのですが、何故かWarFTPdのPASV
だけテストを忘れたようです。100%トラブルが再現でき、今修正しましたので、再テストして
見てください。
 デーモンによる違いの吸収を間違っていました。お恥ずかしいミスです。


No.517 投稿時間:2003年02月19日(Wed) 23:09 投稿者名:神風 URL:
タイトル:早速の修正ありがとうございます。

再チャレンジしてみました。
結果は下記の通りで、testファイルが送れていません。(.bakは来ました。)
昨日はこの状態でちゃんと送信できたんですけどね・・・。
自分で家庭内LANの別のPCから外部接続で試してみても同じで結果でtest.txtをDLできませんでした。
ちなみに、このファイルをdownフォルダに入れてやるとDLできました。
なぜかルートDirに置くとダメになってしまったようです。
パーミッション、ルーター、confなどはいじってません。
何かアドバイスをお願いします。

ホスト(218.217.x.x)のポート(21)に接続中です。(2003/02/19 22:56:24)

Connected to 218.217.x.x (218.217.x.x).
220-Jgaa's Fan Club FTP service
WarFTPd 1.81.03 (Dec 19 2002) Ready
(C)opyright 1996 - 2002 by Jarle (jgaa) Aase - all rights reserved.
220 Please enter your user name.
Name (218.217.x.x:nobody): ---> USER xxxx
331 User name okay, need password.
---> PASS XXXX
230 User logged in.
---> SYST
215 UNIX Type: L8 Server: "WarFTPd 1.81.03" OS: "WIN32 (Windows 2000 5.0 2195 Pentium II 1-CPU)"
Remote system type is UNIX.
Using binary mode to transfer files.
---> PWD
257 "/" is current directory.
---> TYPE A
200 Type set to A.
---> PASV
227 Entering Passive Mode (218,217,x,x,17,90).
---> LIST
125 Using existing ASCII mode data connection for /bin/ls (421 bytes).
total 9
drwxrw-rw- 1 root root 0 Feb 19 22:42 .
drwxrw-rw- 1 root root 0 Feb 19 22:42 ..
drwxrw-rw- 1 root root 0 Feb 17 13:14 bin
drwxrw-rw- 1 root root 0 Feb 17 13:14 pub
drwxrw-rw- 1 root root 0 Feb 19 22:41 upload
drwxrw-rw- 1 root root 0 Feb 19 21:16 usr
drwxrw-rw- 1 root root 0 Feb 19 22:51 test
drwxrw-rw- 1 root root 0 Feb 19 22:42 Down
-rwxrw-rw- 1 root root 6 Feb 18 21:03 test.txt
226 Transfer complete. 421 bytes in 0.01 sec. (41.113 Kb/s)
---> PASV
227 Entering Passive Mode (218,217,x,x,17,91).
---> RETR test.txt

Error200: ファイルを受信できません。
☆☆☆ テストは異常終了しました。☆☆☆ (2003/02/19 22:56:26)


No.518 投稿時間:2003年02月20日(Thu) 00:14 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:ルートDirのファイルが読み込み不可になっているはずです。

 結果の表示時に、テスト結果のログを判定後に表示出力していたので、この結果のように最終的な判定したログが表示されずに判定結果だけしか出力されていないことに気が付き、先ほど更に変更しました。これで、ファイルが受信できなかった理由も表示されるはずです。
 神風さんとほぼ同時期にテストされている方で、同様の方がいますが、LIST表示ができるのですが読み込み不可になっていてダウンロードできていませんでした。
 こちらから、手動で確認しようとしたのですが既にパスワードが変わっていてアクセスできませんでしたが、状況からして間違いないと思います。
 Windowsはパーミッションの概念がないので、表示上は読めることになっていますが実際にはWarFTPdが拒否しています。ユーザマネージャで対応ユーザのFile accessでルートのファイルは読み込み可能になっていますか?
 日本語パッチを出していながら何なんですが、おやじ自身はテストツールとしてしか使っていないので、ファイルアクセスの設定はあまり詳しくはわかりません。わかってしまえばどうってことはないのでしょうが、他のデーモンに比べると、この辺りの設定が複雑なのは間違いありません。申しわけありません。
 テストはWarのほかGuildとTinyでやっていますが、Warは抜群にレスポンスがいいですね。家庭内なら一瞬でテストが終わりますが、Guildは間が長く2〜3秒程度、Tinyはタイミング調整しないと、ファイルが20もあると確実にアップロードテストはタイムアウトしてしまいます。つまり10秒以上かかるということ。


No.519 投稿時間:2003年02月20日(Thu) 00:17 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:今は書き込みが不可になっています。

読み込みはできるようになったようですね。でも書き込みは拒否されています。同様の見直しが必要です。


No.521 投稿時間:2003年02月20日(Thu) 20:40 投稿者名:神風 URL:
タイトル:成功しました。

2003/02/20 20:13:12 無事テスト成功いたしました。
ルートDirが書込み禁止(デフォルト)になっておりました。解除して無事成功でした。
bakファイルのUP先はてっきりテスト用に作ったDirに帰ってくると思っていたので、
ルートは全くいじっていませんでした。一方的な思い込みで柔軟性が足りなかったようです。
お恥ずかしい限りです。プログラムの迅速な修正とアドバイスありがとうございました。
何度もテストをし、負荷をかけたことをお詫びします。

ついでで失礼は承知なんですが、質問があります。
1 ルーターをDMZにした場合、nat.confファイルを置いても意味ないのでしょうか?
2 DMZ時のセキュリティーはどのように考えるべきなのでしょうか?
  ちょっと調べたところDMZ接続は、全ての通信を受け付けるのでセキュリティーしてないも同然
  だとありましたので。(もちろん市販のfirewallは入れてありますが)

以上2点です。急ぎませんので時間の空いた時にでもよろしくお願いします。


No.523 投稿時間:2003年02月21日(Fri) 00:08 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:よかったですね。

こんばんは。

> 2003/02/20 20:13:12 無事テスト成功いたしました。
> ルートDirが書込み禁止(デフォルト)になっておりました。解除して無事成功でした。
> bakファイルのUP先はてっきりテスト用に作ったDirに帰ってくると思っていたので、
> ルートは全くいじっていませんでした。一方的な思い込みで柔軟性が足りなかったようです。
> お恥ずかしい限りです。プログラムの迅速な修正とアドバイスありがとうございました。
> 何度もテストをし、負荷をかけたことをお詫びします。

 良かったですね。その後も若干変更しました。デーモンごとの差分吸収が難しいです。負荷よりログです。
おやじも確認のためかなりテストしましたので、この1週間で2Mにもなっています。といっても40Gもありなんともないのですが、ログをみるのが大変です。

> ついでで失礼は承知なんですが、質問があります。
> 1 ルーターをDMZにした場合、nat.confファイルを置いても意味ないのでしょうか?

 FTPサーバの公開をもう一度呼んでいただくといいと思います。サーバがNATルータ配下にあるとき、サーバ(FTPD)はPASVで自分のアドレス、即ちこの場合はプライベートアドレスをPASVの応答で返してしまうので、クライアントはPASVでのデータコネクションが張れなくなくなります。
これを解決するのがnat.confであり、WAN側のグローバルアドレスを通知することによりクライアントがデータコネクションを張れるようにしているのです。
 DMZという機能は、一般的には、ポートマッピング(スタティックNAT)で明示的に指定した以外のポートにWAN側からアクセスがあった場合、BMZに設定した宛先に全て投げるという物です。この場合、サーバにはプライベートアドレスが付与されています。従って、PASVで通知されるのはnat.confがなければプライベートアドレスになってしまうので、クライアントはWAN側にはアクセスして来れないので、結果、DMZであっても通信できませんので、必要です。
 TE4121CのGapNATのように端末にグローバルアドレスを設定するような、DMZ機能ならこの限りではありません。グローバルをサーバが持っているということは、インターネットに直接繋がっているのと同じだからです。

> 2 DMZ時のセキュリティーはどのように考えるべきなのでしょうか?
>   ちょっと調べたところDMZ接続は、全ての通信を受け付けるのでセキュリティーしてないも同然
>   だとありましたので。(もちろん市販のfirewallは入れてありますが)

 上記のとおり、WAN側からのパケットは全てDMZでサーバまで入ってきますので、そこをどう考えるかです。NATの場合は、ポートマッピングしていなければ、ルータで廃棄されるのでサーバのセキュリティが若干甘くても大丈夫です。市販のfirewallが全てを握っているということで、これがしっかりしていて問題なければいいと思いますが、おやじの不正アクセスで上げているような、おかしなアクセスが全てサーバまできてしまうということです。
 リスクを考えるなら、NAT+ポートマッピングを薦めます。2重になりかなり安全です。DMZは、ゲーム等でNAT越えでは問題がでるアプリを動かしたい場合に使うべきで、サーバのために使う機能ではないと考えます。


No.532 投稿時間:2003年02月21日(Fri) 22:23 投稿者名:神風 URL:
タイトル:ありがとうございました。

こんばんは。
そうなんですか。DMZは避けるべきと思っていたのですが、案の定でした。

プラネックスのBRL04FBを使っているのですが、どうやら4440-4450のような
ポートマッピングが出来なさそうなのです。
メーカーに問い合わせてみます。

いろいろとありがとうございました。

メールサーバーも考えていますので、これからも参考にさせていただきます。
では



掲示板▲頁先頭