Top過去ログ目次掲示板

作成日:2003年04月08日 作成:おやじ
掲示板で過去に質問された内容です。

No.705 デ−タポ−トが20番からでないのです。


No.705 投稿時間:2003年04月08日(Tue) 12:21 投稿者名:オウ URL:
タイトル:デ−タポ−トが20番からでないのです。

初めて投稿させて頂きます。オウと言います。
色々とFTPサ−バの件を調べてこちらへ来ました。
凄く実践的で濃い内容に驚きました。まるでFTPの実験室のようですね。
さてお忙しい中恐縮ですが差し支えなければお教え願えるでしょうか。
FTPサ−バをWIN/XP Proで立てたのですがデ−タコネクションポ−トが20番でないと
クライアント側から言われファイアーウォールの関係上、パッシブモ−ドでないと繋がらないので
セキュリティ−上困っております。

FTPサ−バのソフト(TinyFTPD)でデ−タポ−ト20にしておりますがこのような事はあるのでしょうか。
ファイアウォ−ルを使用していない別のダイアルアップクライアントからは繋がりますが
どうもポ−ト1024以降で繋がってしまっています。

FTPサ−バの環境は下記の通りです。

1.ADSL接続
2.ル−タ NEC DR202C ファ−ム7.2最新
ポ−トマッピングにポ−ト21をFTPサ−バのマシンへ宛てています。
3.FTPサ−バのソフト(TinyFTPD)
デ−タポ−ト20、パッシブにチェックを入れてないです。

ル−タのDR202Cのサポ−トへ尋ねましたがポ−トを変換して送信などしていないとの事です。

サーバのPCが悪戯をしているのでしょうか。
ご教授頂ければ幸いです。よろしくお願いします。


No.706 投稿時間:2003年04月08日(Tue) 19:11 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:ファイヤウォール越えはPASVでしかできません。

こんばんは。

> 凄く実践的で濃い内容に驚きました。まるでFTPの実験室のようですね。

 FTPは、その特殊な通信方式のため自宅サーバで苦労されている方が多いので、なるべく分かりやすくまとめてみた次第です。
 また、そのような方のためFTPサーバテストも提供しています。うまくいく方は2〜3回で決まりますが、なかなかうまくいかない方が多いです。それだけ難しいのだと思います。

> FTPサ−バをWIN/XP Proで立てたのですがデ−タコネクションポ−トが20番でないと
> クライアント側から言われファイアーウォールの関係上、パッシブモ−ドでないと繋がらないので
> セキュリティ−上困っております。
>
> FTPサ−バのソフト(TinyFTPD)でデ−タポ−ト20にしておりますがこのような事はあるのでしょうか。
> ファイアウォ−ルを使用していない別のダイアルアップクライアントからは繋がりますが
> どうもポ−ト1024以降で繋がってしまっています。

 本題ですが、いまいちここの意味がわからないのですが、クライアント側(会社や学校等)にファイヤウォールがあり、PASVモードでないと繋がらないということですよね。
 そうであれば、「20番でないと繋がらない。」というのは、恐らく誤解されているのだと思います。制御コネクションはActive/PASVモードとも21番ポートでサーバが待ち受けていますが、データコネクションは、Activeモードの時は、サーバが20番ポート発でクライアントがPORTコマンドで指定してきたポートに接続しますが、PASVの場合は、サーバがPASVコマンドで自分が待ち受けているポート(このポートは1024番以上で、その時に空いているものを使用)を通知し、そのポートに向けてクライアントが接続してきます。従って、PASVなら20番ポートではなく、1024番以上で正解です。

> FTPサ−バの環境は下記の通りです。
>
> 1.ADSL接続
> 2.ル−タ NEC DR202C ファ−ム7.2最新
> ポ−トマッピングにポ−ト21をFTPサ−バのマシンへ宛てています。
> 3.FTPサ−バのソフト(TinyFTPD)
> デ−タポ−ト20、パッシブにチェックを入れてないです。

 「FTPサーバの公開」にあるケース4に該当すると思いますが、上記環境ではファイヤウォールがあるクライアント環境からは、ActiveでもPASVでも繋がりません。Activeが駄目なのは、クライアント側のファイヤウォール(セキュリティ上当然です)のためであり、PASVが駄目なのは、NATルータ環境下でそれに対応していないデーモン(TinyFTP)を使用しているからです。
 クライアント環境は変えられませんので、FTPデーモンをWarFTPdのようなNAT対応のデーモンに変え、PASVでアクセスするしかありません。
 PASVがセキュリティ上問題と思っていらっしゃるようですが、大きな誤解です。NAT越えのPASVモードに対応したデーモンを使用し、使用するポート範囲を限定し、それをサーバにポートマッピングすればデーモンのバグ以外ではセキュリティ上の問題はありません。Webサーバの公開と何か違いますか?同じですよね。これは、NAT未対応デーモンでPASVモードで公開するときに、データコネクションで使用する1024番から65535番までの全ポートをサーバにマッピングすれば公開できるという話が出回っているからだと思いますが、これは大きな間違いです。何故なら、PASVで通知されるアドレスは、サーバが持っているプライベートアドレスですからクライアントは接続しようがありません。
 恐らくこれでうまくいった方は、使用しているルータがPASVのサーバ側モードをサポートしていて、PASVコマンドの中のプラベートアドレスをWAN側のグローバルアドレスに書き換えてくれていたからとしか思えません。DR202がこの機能をサポートしているなら、1024から65535をサーバにポートパッピングするか、サーバをDMZにおけばTinyでもPASVでアクセスできるので、ルータの振る舞いを理解するという意味で実験する価値はあるでしょう。但し、外部からアクセスが始まるものは全てサーバまでパケットがきてしまうので、セキュリティ上はかなり危険ですので、常用は薦められません。

> サーバのPCが悪戯をしているのでしょうか。

 上記のとおりであり、ファイヤウォール下にあるクライアントからアクセスする手段としては、デーモンを変えて、PASVを使用するしか手はありません。(ルータをかえる手もありますが、ルータのFTP対応は仕様上明確に歌われていないので、これなら大丈夫というルータは無いと思います。ある日突然ファームアップしたら駄目になっても仕様でなければ文句も言えませんから。)
 おやじは、多くのクライアントにFTPサーバを公開するならPASVさえできればよいと思っています。PASVが使えない環境は極めて稀です。反対にActiveでは企業や学校等の業務用ルータやファイヤウォールがある環境からは、絶対にアクセスできませんので意味がないと思っています。NATがあたりまえの今の時代ですから、Activeモードはおまけです。
 (注:BBRもNATですが、FTPのActiveモードのクライアント側機能を持っているのが普通ですから、そういうユーザしか相手にしないのならこの限りではありません。)


No.707 投稿時間:2003年04月08日(Tue) 22:26 投稿者名:オウ URL:
タイトル:Re: ファイヤウォール越えはPASVでしかできません。

こんばんわ、お世話になります。
早速ご返事を頂き誠にありがとうございます。

PASVのは危険だと少し誤解をしていたかもしれません。

>  本題ですが、いまいちここの意味がわからないのですが、クライアント側(会社や学校等)にファイヤウォールがあり、PASVモードでないと繋がらないということですよね。
>  そうであれば、「20番でないと繋がらない。」というのは、恐らく誤解されているのだと思います。制御コネク
>ションはActive/PASVモードとも21番ポートでサーバが待ち受けていますが、データコネクションは、
>Activeモードの時は、サーバが20番ポート発でクライアントがPORTコマンドで指定してきたポートに接続しますTが、PASVの場合は、サーバがPASVコマンドで自分が待ち受けているポート(このポートは1024番以上で、その時に空いているものを使用)を通知し、そのポートに向けてクライアントが接続してきます。従って、PASVなら20番ポートではなく、1024番以上で正解です。
>

はい、素直にファイア−ウォ−ル越えはPASVモードを使用すると言うのは聞いておりましたが
セキュアIPのご担当から20番ポートからデ−タコネクションは無条件でパススル−させていると
聞きどうも20番ポートに固執しておりました。それに今でも理解できない現象なのですが
1.Activeでセキュア網経由で他のFTPサ−バへは入れますが
2.同じようにActiveでセキュア網経由で私のFTPサ−バへは入れないです。
3.セキュア網経由でなく一般のプロバイダのダイアルアップだと
Active/PASVモードともにFTPサ−バへは入れます。

どうしても1の状態であるセキュア網経由(ファイア−ウォ−ル)&Activeの通過が
出来るのかが解らないのです。

セキュリティの面でもサ−バにはBlackICEと言うディフェンダ−なる防御ソフトを
いれていますがActiveの場合はftpに関する21番ポートの通過だけで
セキュリティレベルを最高にしても3のセキュア網経由でなく一般のプロバイダのダイアルアップだと
Activeモ−ドでftpサ−バへはいれますがPASVモードだとセキュリティレベルを普通にした
1024からすべての要求を許すものにしないと通過できませんので
精神的にすごく不安になります。

現在はFTPデーモンをWarFTPdにしていますがHPに載せられていましたように
使用するポート範囲を限定するNAT.CONFの編集とCGIの設定が必要でしょうか。
セキュリティ面とも合せ非常複雑になりナ−バスになってしまいますね。

まずはご回答を頂きお礼申し上げます。


No.708 投稿時間:2003年04月08日(Tue) 23:04 投稿者名:おやじ URL:http://www.aconus.com/~oyaji
タイトル:20番をパススルーしただけでは駄目です。

こんばんは。


> はい、素直にファイア−ウォ−ル越えはPASVモードを使用すると言うのは聞いておりましたが
> セキュアIPのご担当から20番ポートからデ−タコネクションは無条件でパススル−させていると
> 聞きどうも20番ポートに固執しておりました。それに今でも理解できない現象なのですが
> 1.Activeでセキュア網経由で他のFTPサ−バへは入れますが
> 2.同じようにActiveでセキュア網経由で私のFTPサ−バへは入れないです。
> 3.セキュア網経由でなく一般のプロバイダのダイアルアップだと
> Active/PASVモードともにFTPサ−バへは入れます。
> どうしても1の状態であるセキュア網経由(ファイア−ウォ−ル)&Activeの通過が
> 出来るのかが解らないのです。

 単に20番をスルーしただけでは駄目で、それが21番とのペアのコネクションであることを認識して、FTP接続しているクライアントに中継してくれなければ、WAN側から始まるコネクションなので、どこ行きのパケットかわからないですよね。家庭向けBBRをこの機能を実装していますので、Activeでもアクセスできるのです。業務用ルータでは、このような機能は実装していません。何故なら、膨大なセッションをNATしますので、同一の宛先IPに同時にFTPのActiveモードでアクセスしたときを考えれば、そのIPから20番でアクセスしたときにどちらに中継したら良いかわからないですよね。こういう不確実な通信は業務用では考えられません。ルータのする仕事でもありません。
 Tinyを20番固定にしていて、DR202が20番をマスカレードしていなければ、上記1項と2項は矛盾しており、何か認識が誤っています。おやじのFTPテストをActiveモードでやってみてください。もし、LISTで止まるなら、20番でアクセスしてきていません。おやじはセキュリティ上、20番以外でアクセスしてきてもフィルタしてますので。
 3番は当然うまくいきます。ダイヤルアップならパソコンがグローバルを持っているからです。

> セキュリティの面でもサ−バにはBlackICEと言うディフェンダ−なる防御ソフトを
> いれていますがActiveの場合はftpに関する21番ポートの通過だけで
> セキュリティレベルを最高にしても3のセキュア網経由でなく一般のプロバイダのダイアルアップだと
> Activeモ−ドでftpサ−バへはいれますがPASVモードだとセキュリティレベルを普通にした
> 1024からすべての要求を許すものにしないと通過できませんので
> 精神的にすごく不安になります。
>
> 現在はFTPデーモンをWarFTPdにしていますがHPに載せられていましたように
> 使用するポート範囲を限定するNAT.CONFの編集とCGIの設定が必要でしょうか。

 セkyリティを考えれば必要です。

> セキュリティ面とも合せ非常複雑になりナ−バスになってしまいますね。

 サーバの公開とセキュリティの確保は、ある意味で背反です。そんなに心配なら、自宅サーバを止めたほうが精神的にいいでしょう。FTPにしろWebにしろデーモンにバグがありそこを突かれたら、BlackICE入れても駄目ですから。
Nimudaなんてその典型でしょう。おやじも、当時MSNの天気予報で感染しました。


No.711 投稿時間:2003年04月09日(Wed) 09:58 投稿者名:オウ URL:
タイトル:Re: 20番をパススルーしただけでは駄目です。

こんにちわ、詳しいご説明に感謝いたします。
書店で色々調べてもここまでの解説見当たらないですね。
本当に感謝いたします。

>  サーバの公開とセキュリティの確保は、ある意味で背反です。そんなに心配なら、自宅サーバを止めたほうが精神的にいいでしょう。FTPにしろWebにしろデーモンにバグがありそこを突かれたら、BlackICE入れても駄目ですから。
> Nimudaなんてその典型でしょう。おやじも、当時MSNの天気予報で感染しました。

やはりセキュリティ面では出来るだけやれる事をやってみます。
初心者がどれだけ防御できるか期待できませんが。

WarFTPd(1.670b)合わせ強化を考えておりますのでHPに載せられていました
使用するポート範囲を限定するNAT.CONFの編集とCGIの利用をさせて頂いて
よろしいでしょうか。お手数をかけ恐縮です。ありがとうございます。



掲示板▲頁先頭