投稿日:2002年09月19日 作成鷹の巣

No.5343 友人の方からのFTPアップロードは可能でも会社からのFTPアップロードが出来ない。



友人の方からのFTPアップロードは可能でも会社からのFTPアップロードが出来ない。

No.5343 投稿時間:2002年09月19日(Thu) 19:50 投稿者名:深層水 URL:http://***

-------------------------------------------------------------------
何時も、お世話になっています一年位、前から自宅サーバーで試験運用を
始めたのですが、今現在の環境はADSL非固定IPアドレスにてルータ無しで
Windows2000serverにてDHCPサーバーをファイヤウォールとしてプライベー
ト側に、WEB,FTP,Mailサーバーを構築しています(Win2000)、FTP Serverは
"Tiny FTP Daemon"また私自身あまりTCPやUDPに関する知識が無いと言う事
も環境の一つとして追加して置きます、そこで本題ですが、192.168.0.1を
DHCPに192.168.0.2をFTP,WEBとしていますが、友人の方(ocnですが)からの
ftpポートを使用してのアップロードは可能なのですが、私の会社から128
専用線からのアップロードが出来ません、またファイヤーウォルを一時的
に撤回した場合はどちらからも可能となります、またWin2000のDHCPの設定
で、接続アイコンを右クリックのプロパティ画面を表示させ192.168.0.2向
けにTCPのみ21番をチェックボックスにチェックを入れて通す設定にしてあ
ります、別途UDP等も通過させる必要等あるのでしょうか、どうかご教授い
頂きたく、掲載させて頂きました、お心当たりのある方または、知識をお持
ちの方、よろしくお願い致します!
--------------------------------------------------------------------


ファイヤーウォル

No.5344 投稿時間:2002年09月19日(Thu) 22:00 投稿者名:OAK URL:

> ファイヤーウォルを一時的に撤回した場合はどちらからも可能となります

と書いてあるじゃないですか。


どのようなプロバイダを利用してもFTPを利用出来るようにしたいです。

No.5345 投稿時間:2002年09月19日(Thu) 23:08 投稿者名:深層水 URL:http://***

-----------------------------------------------------------------------
> > ファイヤーウォルを一時的に撤回した場合はどちらからも可能となります
> > と書いてあるじゃないですか。

あっすいません、説明がまずかったですDHCPファイヤウォールを張った状態で、
どのようなプロバイダを利用してもFTPを利用出来るようにしたいです、勿論ポー
ト21番には張ってませんですが、外部からのアクセスですがOCNからはファイヤ
ウォール張ったままで利用出来ますが、Tikiの接続ではサーバーの方で指定した
ディレクトリの中は覗く事は出来ますがUPは出来ません、またDHCPのTCP21番は
192.168.0.2向けに接続アイコンを右クリックしてプロパティーの画面
で通しています、よろしくお願い致します!
--------------------------------------------------------------------


DHCPサーバー機側にFTPサーバーを移設して下さい。

No.5346 投稿時間:2002年09月19日(Thu) 23:27 投稿者名:鷹の巣 URL:http://sakaguch.com/

Uploadを行う場合のFTPサーバーのデータ転送は、プライベートアドレスでは、無理です。
FTPクライアントへ送り出すパケットには、グローバルアドレスとデータポート(20)を設定する必要があります。
FTPサーバーがグローバルアドレスを取得できるDHCPサーバー機側にFTPサーバーを移設して下さい。
その場合、FTPサーバーのデータがWebサーバーのドキュメントである場合は、多少工夫が必要だとは思いますが。


十分内容は把握できました。

No.5351 投稿時間:2002年09月20日(Fri) 01:07 投稿者名:深層水 URL:http://***

>>FTPサーバーのデータがWebサーバーのドキュメントである場合は、
>>多少工夫が必要だとは思いますが。
OAK様、鷹の巣様了解致しました、十分内容は把握できました、

ありがとう御座いました!


DHCPサーバーで、グローバルIPに変換すれば、FTPサーバーは動作可能?

No.5360 投稿時間:2002年09月20日(Fri) 16:54 投稿者名:深層水 URL:http://***.

しつこいと言われそうな予感がしますが、かなり頼りに致しておりますので、再度お聞きしたいです!!!
------------------------------------------------------------------------------------------------
>>Uploadを行う場合のFTPサーバーのデータ転送は、プライベートアドレスでは、無理です。
>>FTPクライアントへ送り出すパケットには、グローバルアドレスとデータポート(20)を設
>>定する必要があります。

これは知識不足の私の憶測ですが、教えて下さいDHCPサーバーに、グローバルIPをストック(プール)させてお
いて、192.168.0.2のアドレスをグローバルIPに変換して、さらにファイヤーウォールに TCP/21番とTCP/20番
をグローバル向けに貫通させたら、もしかしてFTP ServerをDHCP側に移動させなくても、動作可能?と言う物
です、何分まだ家サーバーの卵なので(卵と言うレベルにも達して無いかも?)どうかご指導、ご教授お願
い致します!
----------------------------------------------------------------------------------------------------


> FTPクライアントへ送り出すパケットには、グローバルアドレスとデータポート(20)を設定する必要があります。
> FTPサーバーがグローバルアドレスを取得できるDHCPサーバー機側にFTPサーバーを移設して下さい。
> その場合、FTPサーバーのデータがWebサーバーのドキュメントである場合は、多少工夫が必要だとは思いますが。


グローバルアドレスをFTPクライアントに通知出来れば、Uploadも可能となります。

No.5362 投稿時間:2002年09月20日(Fri) 17:42 投稿者名:鷹の巣 URL:http://sakaguch.com/

> これは知識不足の私の憶測ですが、教えて下さいDHCPサーバーに、グローバルIPをストック(プール)させておい
> て、192.168.0.2のアドレスをグローバルIPに変換して、さらにファイヤーウォールに TCP/21番とTCP?/20番
> をグローバル向けに貫通させたら、もしかしてFTP ServerをDHCP側に移動させなくても、動作可能?と言う物
> です、また上記問いかけの内容で、TCP?/20番と記述しましたが、TCPで良かったでしょうかまた、UDPなので


FTPサーバーが使用するサービスポートは、PORTモードでは、TCPの21番と20番です。UDPは、使用しません。
FTPのファイル転送で、使用するアドレスがグローバルアドレスで、TCPの20番ポートを使用する様に
FTPクライアントに通知出来れば、ルータ(NAT)があっても、ルータでTCP20番がポートフォワーディングされていれば、
Uploadも可能となります。


FTP制御ポートとデータポートを同一のTCP/21番と言う事は可能なのでしょうか?

No.5365 投稿時間:2002年09月20日(Fri) 19:28 投稿者名:深層水 URL:http://***.

-------------------------------------------------------------------------------------------------
>>FTPサーバーが使用するサービスポートは、PORTモードでは、TCPの21番と20番です。UDPは、使用しません。
>>FTPのファイル転送で、使用するアドレスがグローバルアドレスで、TCPの20番ポートを使用する様に
>>FTPクライアントに通知出来れば、ルータ(NAT)があっても、ルータでTCP20番がポートフォワーディングさ
>>れていれば、
>>Uploadも可能となります。

素朴すぎる質問で大変申し訳ないのですがTiny FTP Daemonで、ポート20番をグローバル側~プライベート側
ヘ、貫通させてもセキュリティー上の問題は大丈夫なのでしょうか?と言うのが、レンタルサーバー関係の方
のサーバーは、20番はどうも閉じているように感じます、またTiny FTP Daemonの制御ポートとデータポート
を同一のTCP/21番と言う事は可能なのでしょうか(必要以上にポートを開放したくない為)!
素人考えで申し訳ないのですが、宜しくお願い致します!
--------------------------------------------------------------------------------------------------


セキュリティー上、インターネット側から、Uploadを行うのは、PORTモードとなります。

No.5375 投稿時間:2002年09月22日(Sun) 01:37 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 素朴すぎる質問で大変申し訳ないのですがTiny FTP Daemonで、ポート20番をグローバル側~プライベート側
> ヘ、貫通させてもセキュリティー上の問題は大丈夫なのでしょうか?と言うのが、レンタルサーバー関係の方
> のサーバーは、20番はどうも閉じているように感じます、またTiny FTP Daemonの制御ポートとデータポート
> を同一のTCP/21番と言う事は可能なのでしょうか(必要以上にポートを開放したくない為)!
> 素人考えで申し訳ないのですが、宜しくお願い致します!


セキュリティー上、インターネット側から、Uploadを行うのは、PORTモードとなります。
即ち、FTP-dataのポート番号の開放は、20番だけを行います。
PASVモードで、Uploadを行うと、1024番以上のポートを複数、開放しなければならず、ルータに相当するもので、
パケットフィルタリングが事実上ない様になってしまいます。
レンタルサーバーを行うのであれば、FTP-dataのポート番号が21番と兼用出来るか否かについては、こちらのサイト
http://www.atmarkit.co.jp/fnetwork/rensai/netpro10/netpro01.html
http://www.atmarkit.co.jp/fnetwork/rensai/netpro11/netpro01.html
をご覧になり判断して下さい。


OCNは可能でも会社からのFTPが出来ない。

No.5366 投稿時間:2002年09月20日(Fri) 20:32 投稿者名:OAK URL:

最初に質問者がファイヤーウオールをはずすと、と書いてあったので、
ドメインによるファイヤーウオールでも入っているのかと思いましたが
質問者のファイヤーウオールってルータそのものなんですね

元に戻って考えて、OCNはOK、会社NGという事は、パッシブだとダメ
という事ですかね。会社の方を変えることは出来ないでしょうから、パッシブ
で動作させればよい。という事ですか?

最近の市販ルータは、FTPのアドレス変換が入っているので自然に
意識する事なく動いてしまうわけですね。

2000でルーターを組む場合1000~2000ぐらいを通してもダメでしょうか。

それと私のサイト昨日からあまり具合がよくないのですが、動いていたらFTPの
テストで、パッシブ、アクティブ両者試してください。


ダウンロードOK アップロードNGと言う結果です!

No.5368 投稿時間:2002年09月20日(Fri) 21:21 投稿者名:深層水 URL:http://***.

-----------------------------------------------------------------------------
>>それと私のサイト昨日からあまり具合がよくないのですが、動いていたらFTPの
>>テストで、パッシブ、アクティブ両者試してください。

ありがとう御座います、非常に助かります、
-----------------------------------------------------------------------------
>>元に戻って考えて、OCNはOK、会社NGという事は、パッシブだとダメ
>>という事ですかね。会社の方を変えることは出来ないでしょうから、パッシブ
>>で動作させればよい。という事ですか?

その状態なら良いような気がするのですが、会社からだと128k接続でなくてもダイ
ヤルアップ接続(ルータ無し)でも、どちらも駄目なのです、また友人宅からの実験
なのですが、同一PCによるプロバイダのみ変えて(DION,OCN,TIKIなど)の実験を執
行したのですが、やはり、OCN→パッシブ=OK アスキー=OK DION→パッシブ=OK ア
スキー=NG TIKI→ディレクトリの中身は見えるてるのですがダウンロードOK アッ
プロードNGと言う結果です!
-----------------------------------------------------------------------------
>>最近の市販ルータは、FTPのアドレス変換が入っているので自然に
>>意識する事なく動いてしまうわけですね。

ルーターを使用せよ、と言う声が聞こえてきそうなのですが、私自身の実験を
兼ねていると思ってお許し下さい、DHCPサーバーをルーターの代わりとして
使用しています、DHCPは定期的に検査を行いハック等されても回りの方に迷惑
をかけるような、ハックを許させなければ良いとの覚悟です、勿論ですが、その
ような事態になれば、直ぐに予備のDHCPに交換後、原因究明に励み対策を考え
自分自身を鍛錬するつもりです!
------------------------------------------------------------------------------
>>2000でルーターを組む場合1000~2000ぐらいを通してもダメ
>>でしょうか。

DHCP Server(Windows2000server)TCPポート番号1000~2000番をプライベート
方向(192.168.0.2)へ、フリーにして見てはと解釈させて頂いて良いので
しようか、素人な者で大変申し訳ないです
-------------------------------------------------------------------------------


パケットの方向の違いを考慮して、一度整理して下さい。

No.5377 投稿時間:2002年09月22日(Sun) 02:10 投稿者名:鷹の巣 URL:http://sakaguch.com/

> その状態なら良いような気がするのですが、会社からだと128k接続でなくてもダイ
> ヤルアップ接続(ルータ無し)でも、どちらも駄目なのです、また友人宅からの実験
> なのですが、同一PCによるプロバイダのみ変えて(DION,OCN,TIKIなど)の実験を執
> 行したのですが、やはり、OCN→パッシブ=OK アスキー=OK DION→パッシブ=OK ア
> スキー=NG TIKI→ディレクトリの中身は見えるてるのですがダウンロードOK アッ
> プロードNGと言う結果です!

ルータでのNATの意味は、現状、1対n(複数)のネットワークアドレス変換です。
一個のグローバルアドレスを複数のプライベートアドレスに変換します。

インターネット側からLAN内に向かう方向のパケットの経路を複数あるプライベートアドレスの内の
一つであるサーバー機に向かわせるのが(ポート)フォワーディングという設定です。
この設定は、LAN内から、インターネット側へ向かう方向の経路を決定する設定ではありません。

元々、クライアント機で、デフォルトのゲートウェイがルータに設定されていますので、
LAN内のサーバー機から、インターネット側へ向かう方向の経路は、ルータを通って出て行く様になっています。
FTPダウンロードを行うのに(ポート)フォワーディング設定が不要なのは、この為です。
ディレクトリの中身は見えるというのは、ダウンロードと同じで、(ポート)フォワーディング設定は不要です。

一方、アップロードを行うには、データの方向がインターネット側からLAN内に向かう方向のパケット
となるため、経路を決める為に(ポート)フォワーディング設定が不可欠となります。

以上のアップロードとダウンロードのパケットの方向の違いを考慮して、一度整理して下さい。


設定を進行させます。

No.5387 投稿時間:2002年09月23日(Mon) 03:03 投稿者名:深層水 URL:http://***.

--------------------------------------------------------------------------
>>ルータでのNATの意味は、現状、1対n(複数)のネットワークアドレス変換です。
>>一個のグローバルアドレスを複数のプライベートアドレスに変換します。

わかりました、RADIUS着信接続と混同している部分があったみたいでした
素人な者で申し訳ないです!
--------------------------------------------------------------------------
>>一方、アップロードを行うには、データの方向がインターネット側からLAN内に
>>向かう方向のパケットとなるため、経路を決める為に(ポート)フォワーディ
>>ング設定が不可欠となります。

了解致しました、上記の内容を参考に設定を進行させます、何時もありがう
御座います、以降も宜しくお願い致します!
--------------------------------------------------------------------------


|目次|掲示板|過去ログ目次|▲頁先頭|