投稿日:2002年08月03日 作成鷹の巣

No.4436 PASVモード時の設定の違いTiny FTPDとProFTPD



PASVモード時の設定の違いTiny FTPDとProFTPD

No.4436 投稿時間:2002年08月03日(Sat) 03:13 投稿者名:GAT URL:

こんにちは、鷹の巣さんは自宅サーバ運用に有用な情報が豊富にあり以前よりROMさせて頂いておりました。m(_ _)m

実は、WinXPで時々動かしていたTinyが上手く動かないことが多いのでPro FTPD(on RedHat)に変更したのですが、この乗換えでTinyについていろいろ疑問に思う点が出てきたのでお教え願いたく書き込みさせて頂きます。

うちの場合、回線はYahooBBで安いブロードバンドルーターを通してFTPサーバーをつないでいます。
ProFTPDの場合PORTモードなら20・21をフォワードしPASVモードですとProFTPDの.confで使用するポート範囲を設定してこれも加えてフォワードします。http://proftpd.linux.co.uk/localsite/Userguide/linked/x877.html

考えてみるとしごく当然な手順ですがTinyではPASVモードなのにも関わらず21番のみのフォワードでアップ、ダウンとも出来ていました。(Ver0.52d)
何故なのでしょう?ルータータイプのADSLモデムの相手からのファイルも受け取れましたしDMZにしていたという事もありません。
ただこちらの掲示板内で散見されたコマンドの文字化けとか同時接続時のファイル損傷が発生しました。

またTinyではPASVモードで使用するポートの設定法が見つかりません、ということは1024以上は全て受け付けてやらないとダメということでしょうか。

既に乗り換えてしまったので現在困っているわけではなくただ不可解に思っているだけなのですが、教えて頂けないでしょうか
よろしくお願いします。


LAN内に存在するPCがサーバー機だけだったということは、ありませんか?

No.4582 投稿時間:2002年08月14日(Wed) 06:58 投稿者名:鷹の巣 URL:http://sakauch.com/

> うちの場合、回線はYahooBBで安いブロードバンドルーターを通してFTPサーバーをつないでいます。
> ProFTPDの場合PORTモードなら20・21をフォワードしPASVモードですとProFTPDの.confで使用するポート範囲を設定してこれも加えてフォワードします。
> http://proftpd.linux.co.uk/localsite/Userguide/linked/x877.html


回答が遅くなりまして、申し訳ありませんでした。GATさんのサーバー機には、FTPサーバーだけでしょうか?
PASVモードは、使用ポートをクライアント側が指定しますので、そもそもUpLoadを許すのでしたら、セキュリティ上は、止めた方が良いと考えます。
どうしてもというのでしたら、私だったら、FTPサーバーだけをDMZに置いて、NATを使用せずにセキュリティ対策します。
FTP以外のサーバーがサーバー機に同居している場合は、ルータでのパケットフィルタリング設定が甘くなるからです。


> 考えてみるとしごく当然な手順ですがTinyではPASVモードなのにも関わらず21番のみのフォワードでアップ、ダウンとも出来ていました。(Ver0.52d)
> 何故なのでしょう?ルータータイプのADSLモデムの相手からのファイルも受け取れましたしDMZにしていたという事もありません。
> ただこちらの掲示板内で散見されたコマンドの文字化けとか同時接続時のファイル損傷が発生しました。


ちょっと状況が良く解りませんが、LAN内に存在するPCがサーバー機だけだったということは、ありませんか?
他のクライアント機の電源を切っていたとか?

FTPサーバー側のルーターがPASVモード対応でしたら、DMZと同じで、ルーターを越えられると思います。
ここで言うPASVモードとは、クライアント機がFTP接続で通知したグローバルアドレスと指定ポート番号を
FTPデータ送受信時にルータがFTPサーバーにパケットを配送することを指します。そういうNATをルータが自動的に実施する訳です。

私の使用しているルーターでは、ルーターを越えられませんでした。PASVモードで接続要求をだすと、Tiny FTP Daemonは、
プライベートアドレスとクライアント指定のポート番号をftp-dataとして使用する様に、クライアントに通知して来ます。

# LAN内のFTPサーバーは、グローバルアドレスを知らないので、これは当然の応答内容です。
# ルータがうまく、このパケット内容をグローバルアドレスとクライアント指定のポート番号をftp-dataとして使用する様に、
# クライアントに通知してくれれば、PASVモードでもうまく行くのですが。
# FTPサーバーというのは、自宅サーバーのルータのNAT内設置は、うまく行かないと考えた方が良い様です。


> またTinyではPASVモードで使用するポートの設定法が見つかりません、ということは1024以上は全て受け付けてやらないとダメということでしょうか。


これは、ご指定の通りです。1024以上は、ルータのパケットフィルタリングを通してやらなければなりません。
ポートフォワーディングについては、FTPサーバーがグローバルアドレスとクライアント指定のポート番号をftp-dataとして使用するという応答を
クライアントに返すとして、ルータのNAT次第ではポートフォワーディングは不要になります。
また、PASVモードは、使用ポートをクライアント側が指定しますので、そもそもFTPサーバーが使用ポート範囲を決めるべきではないと考えるのですが。


ありがとうございました。

No.4651 投稿時間:2002年08月18日(Sun) 18:25 投稿者名:GAT URL:

丁寧なご回答ありがとうございます。

> >うちの場合、回線はYahooBBで安いブロードバンドルーターを通してFTPサーバーをつないでいます。
> > ProFTPDの場合PORTモードなら20・21をフォワードしPASVモードですとProFTPDの.confで使用するポート範囲を設定してこれも加えてフォワードします。
> > http://proftpd.linux.co.uk/localsite/Userguide/linked/x877.html
>
>
> 回答が遅くなりまして、申し訳ありませんでした。GATさんのサーバー機には、FTPサーバーだけでしょうか?
> PASVモードは、使用ポートをクライアント側が指定しますので、そもそもUpLoadを許すのでしたら、セキュリティ上は、止めた方が良いと考えます。
> どうしてもというのでしたら、私だったら、FTPサーバーだけをDMZに置いて、NATを使用せずにセキュリティ対策します。
> FTP以外のサーバーがサーバー機に同居している場合は、ルータでのパケットフィルタリング設定が甘くなるからです。

TinyではダメですがProFTPDですと21番と任意のポート5~10程度でも3~5クライアントの同時接続に耐えられるようなので、Webサーバー機にもProFTPを導入してしまいました。
ipchainsとBBルーター両方を利かせられるので外に置くより安心できます。

> > 考えてみるとしごく当然な手順ですがTinyではPASVモードなのにも関わらず21番のみのフォワードでアップ、ダウンとも出来ていました。(Ver0.52d)
> > 何故なのでしょう?ルータータイプのADSLモデムの相手からのファイルも受け取れましたしDMZにしていたという事もありません。
> > ただこちらの掲示板内で散見されたコマンドの文字化けとか同時接続時のファイル損傷が発生しました。
>
>
> ちょっと状況が良く解りませんが、LAN内に存在するPCがサーバー機だけだったということは、ありませんか?
> 他のクライアント機の電源を切っていたとか?

わたしも変だなぁと思ったのでお尋ねしてみたのですが奇天烈な話ですよね (^^;
LinuxでWebサーバが24時間稼動しているのでTinyを使った時は常に二台以上動いていたと思います。

> FTPサーバー側のルーターがPASVモード対応でしたら、DMZと同じで、ルーターを越えられると思います。
> ここで言うPASVモードとは、クライアント機がFTP接続で通知したグローバルアドレスと指定ポート番号を
> FTPデータ送受信時にルータがFTPサーバーにパケットを配送することを指します。そういうNATをルータが自動的に実施する訳です。
>
> 私の使用しているルーターでは、ルーターを越えられませんでした。PASVモードで接続要求をだすと、Tiny FTP Daemonは、
> プライベートアドレスとクライアント指定のポート番号をftp-dataとして使用する様に、クライアントに通知して来ます。
>
> # LAN内のFTPサーバーは、グローバルアドレスを知らないので、これは当然の応答内容です。
> # ルータがうまく、このパケット内容をグローバルアドレスとクライアント指定のポート番号をftp-dataとして使用する様に、
> # クライアントに通知してくれれば、PASVモードでもうまく行くのですが。
> # FTPサーバーというのは、自宅サーバーのルータのNAT内設置は、うまく行かないと考えた方が良い様です。

うちはアクトンの激安ルータSMC7004BRですのでレベルの高い事はできないんです。
ただProFTPDで「MasqueradeAddress ルータWAN側アドレス」「PassivePorts 50000 50005」とでもしておけば
仲間内のファイルのやり取りでは問題ありません。

> > またTinyではPASVモードで使用するポートの設定法が見つかりません、ということは1024以上は全て受け付けてやらないとダメということでしょうか。
>
>
> これは、ご指定の通りです。1024以上は、ルータのパケットフィルタリングを通してやらなければなりません。
> ポートフォワーディングについては、FTPサーバーがグローバルアドレスとクライアント指定のポート番号をftp-dataとして使用するという応答を
> クライアントに返すとして、ルータのNAT次第ではポートフォワーディングは不要になります。
> また、PASVモードは、使用ポートをクライアント側が指定しますので、そもそもFTPサーバーが使用ポート範囲を決めるべきではないと考えるのですが。

TinyのPASVでアップロードを許可する事の無防備さはよくわかりました。
うちのProFTPDはanonymousにして広く公開する予定も無いのでこのままで運用する事にします。
いろいろありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|