おやじさん 初めまして!
何度となく閲覧させていただき 非常に自宅サーバー構築の参考にさせていただいています。
本当に感謝しています・・・ホントに心から。
このたびFileZilla Serverが日本語対応になったという素早い情報をいただき心躍らせてインストールしました。
以前WarFTPdの時も試行錯誤し,なんとかおやじさんの解説を見ながら成功にこぎ着けました。
FTPtestも本当にお世話になり,成功したときの感動をよく覚えています。
ただ,このたびどうしても解決できないことがありましてお力を・・・と思った次第です。
といいますのは,FileZilla ServerのIP Filterの設定項目です。
上段に拒否,下段に許可という構成になっておりますが,特定ホストからのみ許可したいので上段には「*」のみ記入しました。
そして下段に許可ホスト名を・・・と思ったのですがこれがうまくいきません。
どうやら特殊なかきかた(?)のようで・・・。
「192.168.0.*」だけだとうまくいきました。
しかし友人のために「*.ocn.ne.jp」などと書くと「OK」を押しても「Invalid IP addoress/range/mask」というエラーメッセージが出ます。
改行せず続けて書いたり「/*.ocn.ne.jp/」などと書いたりしてもダメでした。
/24とか/22とかいうマスク(?)のことがいくら解説サイトを読んでもどうしても理解できないので,それが原因かも知れません。
IPアドレスではなくホスト名での指定もできるようですが,勘違いなのでしょうか・・・。
もしホスト名での簡潔な指定方法がございましたらお教えいただけませんでしょうか。
お時間ございますときで結構ですので,なにとぞ宜しくお願いいたします。
> ただ,このたびどうしても解決できないことがありましてお力を・・・と思った次第です。
> といいますのは,FileZilla ServerのIP Filterの設定項目です。
> 上段に拒否,下段に許可という構成になっておりますが,特定ホストからのみ許可したいので上段には「*」のみ記入しました。
> そして下段に許可ホスト名を・・・と思ったのですがこれがうまくいきません。
> どうやら特殊なかきかた(?)のようで・・・。
> 「192.168.0.*」だけだとうまくいきました。
> しかし友人のために「*.ocn.ne.jp」などと書くと「OK」を押しても「Invalid IP addoress/range/mask」というエラーメッセージが出ます。
> 改行せず続けて書いたり「/*.ocn.ne.jp/」などと書いたりしてもダメでした。
> /24とか/22とかいうマスク(?)のことがいくら解説サイトを読んでもどうしても理解できないので,それが原因かも知れません。
> IPアドレスではなくホスト名での指定もできるようですが,勘違いなのでしょうか・・・。
ホスト名にワイルドカードは使えないようです。あくまでIPベースの造りになっているのではないでしょうか?
つまり、設定したホスト名を正引きしてそのIPがアクセスしてきたなら許可するという方式です。
逆引きした得たホスト名を正規表現でマッチングしてくれれば望んでいるようは設定はできると思いますが、この方法では無理でしょうね。
つまり、特定ホストのみから接続を許可するなら、上段には「*」または、「0.0.0.0/0.0.0.0」として全てを一旦拒否し、下段で接続を許可するホストを指定する方式ですね。
ここでの指定の仕方は、以下ができます。
・特定IPアドレス ex. 192.168.1.10 127.0.0.1
・アドレスレンジ ex. 192.168.1.0-192.168.1.10 192.168.1.0/255.255.255.0 192.168.1.*
・ホスト名 ex. oyaji.aconus.com localhost
アドレスレンジで192.168.1.0/24という表記は使えないようです。
従って、本当に絞りこむ必要があるなら、クライアントかもしれませんが友人にもDDNSをとってもらって、DiCEを動かすのが簡単かもしれません。とりあえずは、IPがめったに変わらないなら直書きしてもいいのでは?
> ホスト名にワイルドカードは使えないようです。
この一言が非常に助かりました。
できないとわかれば素直にあきらめがつきますのでスッキリしました。
> アドレスレンジ ex. 192.168.1.0-192.168.1.10 192.168.1.0/255.255.255.0 192.168.1.*
ここで少し苦労しましたが,自分なりに解決できた気がします・・・(間違ってるかも)
まず,友人のIPアドレスを
http://whois.nic.ad.jp/cgi-bin/whois_gw?
に入力して検索すると上の方に
「a. [IPネットワークアドレス] xxx.xxx.xxx.xxx/16」
という表記が見あたりました。
そこでこの「/16」の部分を
http://www.fkimura.com/subnet0.html
の下の方にある変換表を頼りに「255.255.0.0」に書換え,FileZilla ServerのIP Filterの下段に「xxx.xxx.xxx.xxx/255.255.0.0」と記載してOKを押す。
こんな感じで解決しました。
関係ないですがちょっと驚いたのはniftyとかかなり大きいISPだと思ってたんですが「/16」というサブネットマスクで表示されました。
ということは65536個のIPしか割振れない(?)はずなので,そんなに少ないものなのか!?とビックリしました。
> アドレスレンジで192.168.1.0/24という表記は使えないようです。
この点もアドバイスを事前にいただいて助かりました。
教えていただかなかったらまたそこで間違いなく行き詰っていました。
> 従って、本当に絞りこむ必要があるなら、クライアントかもしれませんが友人にもDDNSをとってもらって、DiCEを動かすのが簡単かもしれません。
凄く発想が豊かですね・・・驚きました。
慣れた方にはごく普通のことかもわからないのですが,感心してしまいました。
少し話がそれた部分もありましたが,おかげさまで本当に助かりました。
これからもますます充実したHPを作成されていくことを応援しています。
頑張ってください!
> > アドレスレンジ ex. 192.168.1.0-192.168.1.10 192.168.1.0/255.255.255.0 192.168.1.*
>
> ここで少し苦労しましたが,自分なりに解決できた気がします・・・(間違ってるかも)
> まず,友人のIPアドレスを
> http://whois.nic.ad.jp/cgi-bin/whois_gw?
> に入力して検索すると上の方に
> 「a. [IPネットワークアドレス] xxx.xxx.xxx.xxx/16」
> という表記が見あたりました。
> そこでこの「/16」の部分を
> http://www.fkimura.com/subnet0.html
> の下の方にある変換表を頼りに「255.255.0.0」に書換え,FileZilla ServerのIP Filterの下段に「xxx.xxx.xxx.xxx/255.255.0.0」と記載してOKを押す。
> こんな感じで解決しました。
考え方としては良いと思いますが、今回取られた対策は後述のように万全ではありません。そのため、クライアントにDDNSでホスト名を割り付ける提案をしました。
「/16」とは、ネットマスクというものでIPアドレス32ビットのうちの上位16ビットが「1」の数値とANDを取って残ったもの、すなわち上位16ビットが同じものを同一ネットワークとして扱うというものです。従って、「/16」= 「11111111.11111111.00000000.00000000=255.255.0.0」ということです。参考まで。
> 関係ないですがちょっと驚いたのはniftyとかかなり大きいISPだと思ってたんですが「/16」というサブネットマスクで表示されました。
> ということは65536個のIPしか割振れない(?)はずなので,そんなに少ないものなのか!?とビックリしました。
この考えは誤っています。これはniftyが持っているアドレスの極一部ということで、同様のアドレスグループを相当数もっています。ダイアルアップのころは、アクセスポイントの回線数だけアドレスがあればよかったのですが、現在は常時接続がメインですから契約回線数以上アドレスを保有しています。つまり、200万ユーザなら200万以上です。
このアドレスは、回線にログインして認証するときに加入者に割り当てられます。このアドレスはBRAS(PPPoE)やDHCP(IP)という装置にプールされており、これらにプールするとき上記の「/16」全てが一箇所の装置に割り付けられる訳ではなく、例えば「/24」を256箇所に配分しているのが普通です。これで足りなくなると、新たなアドレスグループから割付けます。従って、認証するたびにアドレスグループがころころ替わるということで、実際、おやじのところ(nifty)では、何になるかわからない状況です。おやじのDDNSのログから過去の例を順番に上げると、全くといっていいほど、関連性がないことがわかると思います。
210.253.85.xxx, 220.146.170.xxx, 125.0.13.xxx, 61.210.174.xxx, 58.0.59.xxx, 58.1.148.xxx, 125.2.93.xxx, 220.147.145.xxx, 125.0.87.xxx, 124.24.194.xxx
従って、下記のようにクライアントにDDNSでホスト名を割り付けるぐらいしか、動的IPサービスの環境では相手を特定する方法がないので、そういう提案をしました。
最近はルータにDDNS機能を持つものも多いので、もしあれば相手の方は専門家ではないでしょうからそれを使うと簡単でしょう。
>
> > アドレスレンジで192.168.1.0/24という表記は使えないようです。
>
> この点もアドバイスを事前にいただいて助かりました。
> 教えていただかなかったらまたそこで間違いなく行き詰っていました。
>
> > 従って、本当に絞りこむ必要があるなら、クライアントかもしれませんが友人にもDDNSをとってもらって、DiCEを動かすのが簡単かもしれません。
>
> 凄く発想が豊かですね・・・驚きました。
> 慣れた方にはごく普通のことかもわからないのですが,感心してしまいました。
本当に丁寧にありがとうございます。
よく理解できました(今回はちゃんと理解できたと思います)
そのようなISPの内部の制御など全く知らず勉強になりました。
動的IPアドレスの範囲を限って制限しようというのは大変なことなのですね。
でも詳しいアドバイスのおかげで方針が2つに固まりました。
全IPアドレスに対して解放してユーザー名とパスワードのみの制御にするか,おやじさんがおっしゃった方法のどちらかです。
自分に自信がない分,セキュリティには必要以上に神経質になり,何とか制御しようとしていました。
ルーターを介していますし,anonymousは拒否して,IP Filter以外の部分はきちんと設定したつもりなので,そこまで神経質になる必要もないかも知れませんね・・・。
けれどおかげさまで大変勉強になりました。
本当にありがとうございました!