投稿日:2003年06月21日 作成鷹の巣

No.10727 FTPサーバ用のPASV対応ルータ(マイクロ総研のOPT90)の設定方法は?



FTPサーバ用のPASV対応ルータ(マイクロ総研のOPT90)の設定方法は?

No.10727 投稿時間:2003年06月21日(Sat) 20:48 投稿者名:taku URL:

こんにちは

現在マイクロ総研のOPT90を使用してPASVFTPサーバ(LinuxProFTPD)
を立てようと画策しているものです。

このルータはFTPPASV対応と明記しておりますが、
PASV対応といってもどこまでを行う必要があるのでしょうか?

行うのに必要な段階として

1.ルータのIPマスカレードで21をLinuxサーバに向ける
2.ルータのファイアウォールでLinuxサーバに宛の21ポートをスルーする
3.ProFTPでクライアントから要求があったときに返すアドレスをルータの外側アドレスにする
4.LinuxサーバのProFTPDでPASVデータポートで使用するポートを規定しておく
5.PASVデータポートで規定したポートをルータのIPマスカレードでLinuxサーバに向ける
6.ルータのファイアウォールでPASVデータで使用するポートをスルーする

以上がPASV対応していない普通のルータとLinuxサーバの設定だと思うのですが、
PASV対応しているOPT90ではどこまで行えは良いのでしょうか。
上記の1~6を全て行った場合通信は不可能でした。
何か良い方法はないものでしょうか。

よろしくお願いいたします。


3項を設定しては駄目です。

No.10728 投稿時間:2003年06月21日(Sat) 22:07 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

こんばんは。

> 現在マイクロ総研のOPT90を使用してPASVFTPサーバ(LinuxProFTPD)
> を立てようと画策しているものです。
>
> このルータはFTPPASV対応と明記しておりますが、
> PASV対応といってもどこまでを行う必要があるのでしょうか?
>
> 行うのに必要な段階として
>
> 1.ルータのIPマスカレードで21をLinuxサーバに向ける
> 2.ルータのファイアウォールでLinuxサーバに宛の21ポートをスルーする
> 3.ProFTPでクライアントから要求があったときに返すアドレスをルータの外側アドレスにする
> 4.LinuxサーバのProFTPDでPASVデータポートで使用するポートを規定しておく
> 5.PASVデータポートで規定したポートをルータのIPマスカレードでLinuxサーバに向ける
> 6.ルータのファイアウォールでPASVデータで使用するポートをスルーする
>
> 以上がPASV対応していない普通のルータとLinuxサーバの設定だと思うのですが、
> PASV対応しているOPT90ではどこまで行えは良いのでしょうか。
> 上記の1~6を全て行った場合通信は不可能でした。

ここまで、分かっていらっしゃるなら何が駄目かわかりませんか。
もし、本当にPASVモードに対応しているなら、3~6は不要なはずです。
特に3は絶対に駄目です。この代わりをルータがやってくれているのが、PASV
対応ですから。4~6は設定を誤っていなければ盲腸のはずです。
3の設定をコメントアウトしてOKなことを確認してから、順番に外してみてはどうですか。


他のポート(HTTP)はフォワーディングできているのに、何故かできません。

No.10729 投稿時間:2003年06月21日(Sat) 22:30 投稿者名:taku URL:

おやじさんからお返事いただけるとは光栄です。


ちなみに3-6項を無くしても相変わらずでしたが、
なにやらもっと根本的な他の問題かもしれません。

おやじさんのページでFTPテストを以前から行っていますが、
Error500: ホスト(xxxxxx)(21)に接続できません。
となります。

IPマスカレードの設定も

プロトコル 先頭ポート番号 終了ポート番号 変換IPアドレス
tcp ftp ftp 192.168.xxx.xxx

でおこなっていますし、

Action IN OUT IP/Mask PortNo DNS
QType Protocol TCP Flag
Src - Dst Src - Dst
pass any(又はPPPOE) lan 192.168.xxx.xxx/32 ftp/ftp tcp (urg) (ack) (psh) (rst) (syn) (fin)

(もちろん192.168.123.xxxはLinuxサーバアドレス)
と設定しています。
他のポート(HTTP)はフォワーディングできているのに、何故かできません。
うーん、なんでだろうか…


フィルタがおかしいと思います。

No.10730 投稿時間:2003年06月21日(Sat) 22:55 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

こんばんは。

> ちなみに3-6項を無くしても相変わらずでしたが、
> なにやらもっと根本的な他の問題かもしれません。
>
> おやじさんのページでFTPテストを以前から行っていますが、
> Error500: ホスト(xxxxxx)(21)に接続できません。
> となります。

まさにこのとおりで、FTPデーモンとftpの制御コネクションが張れていない状況です。
なので、3~6項以前の問題です。

> Action IN OUT IP/Mask PortNo DNS
> QType Protocol TCP Flag
> Src - Dst Src - Dst
> pass any(又はPPPOE) lan 192.168.xxx.xxx/32 ftp/ftp tcp (urg) (ack) (psh) (rst) (syn) (fin)

表現が崩れていてはっきりしませんが、ここが誤っていると思われます。
ftp/ftpとはsrc/dstのことですよね。であれば、-/ftpの誤りと思います。sourceは任意で、サーバにアクセスしてくるポートがftp(21)
です。後、フィルタのポリシー(前後の設定)が分からないので、なんともなんですが、TCP-flagもおかしいような気がします。
下記は参考にされましたでしょうか?

http://www.aconus.com/~oyaji/router/opt90_conf.htm


TCPフラグの項目は設定を行わなければ、FTPの通信は確立しないものなのでしょうか?

No.10731 投稿時間:2003年06月22日(Sun) 00:28 投稿者名:taku URL:

早速のお返事ありがとうございます。

お教え頂いたアドレスですが、以前から参考にさせていただいておりましたが、
TCPフラグについては変更しておりません。
何分まだTCPフラグについては勉強途中な物ですので、
現在では通信開始時にSynフラグが立ち、以降にはACKフラグが立っている、
としかわかっておりません。
このTCPフラグの項目は設定を行わなければFTPの通信は確立しないものなのでしょうか?

後下記に訂正したファイアウォールの設定を記載します。

Action IN OUT IP/MaskDst
pass pppoe lan 192.168.xxx.xxx/32
PortNoDst Protocol TCP Flag
ftp/ftp tcp (urg) (ack) (psh) (rst) (syn) (fin)

PortNumberにつきましてはDst項目にFTPのみです。
src項目については空白になっております。
後この項目については一番上段に記載しておりますので、
他のファイアウォールの影響を受けないと思うのですが、
他の項目も記載した方がよろしかったでしょうか?

後おやじさんのご紹介頂いたアドレス先の設定は、
OPT90のPASV対応以前のファームウェア時の設定なのでしょうか?


フラグが駄目です。

No.10732 投稿時間:2003年06月22日(Sun) 01:37 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

こんばんは。

> お教え頂いたアドレスですが、以前から参考にさせていただいておりましたが、
> TCPフラグについては変更しておりません。
> 何分まだTCPフラグについては勉強途中な物ですので、
> 現在では通信開始時にSynフラグが立ち、以降にはACKフラグが立っている、
> としかわかっておりません。
> このTCPフラグの項目は設定を行わなければFTPの通信は確立しないものなのでしょうか?

下の説明で分かりました。これを直せば、行くはずです。他の設定がおやじの設定と同じならという前提ですが。
フラグの意味をよく理解してください。


> 後下記に訂正したファイアウォールの設定を記載します。
>
> Action IN OUT IP/MaskDst
> pass pppoe lan 192.168.xxx.xxx/32
> PortNoDst Protocol TCP Flag
> ftp/ftp tcp (urg) (ack) (psh) (rst) (syn) (fin)
>
> PortNumberにつきましてはDst項目にFTPのみです。
> src項目については空白になっております。
> 後この項目については一番上段に記載しておりますので、
> 他のファイアウォールの影響を受けないと思うのですが、
> 他の項目も記載した方がよろしかったでしょうか?

いいえ。フィルタのポリシーですがおやじのポリシーはHPにも書いてあるとおりです。
全体で意味を持っていますので、部分的に見られても意味はありません。順番も重要です。
フラグを修正しても駄目なら、試験としては、一番上に全てanyでpassするフィルタを書いてみてください。
これで、行くはずです。試験が終わったら、消してください。
あとは、自分のポリシーで塞いでいくか、おやじの設定をパクッて実験してみれば
それぞれの意味が分かると思います。

> 後おやじさんのご紹介頂いたアドレス先の設定は、
> OPT90のPASV対応以前のファームウェア時の設定なのでしょうか?

おやじは、3番以外は盲腸といいました。3番はルータのことではないですよね。
つまり、盲腸かもしれませんがOPT90がPASV対応しているかどうかにかかわらず
デーモンとの整合性が保てていれば動く設定です。


LAN内からのアクセスはできています。

No.10742 投稿時間:2003年06月22日(Sun) 16:46 投稿者名:taku URL:

お返事遅くなりました。

一番ファイアウォールの上記にて
Action IN OUT IP/Maskdst
pass any any 192.168.123.133/32
PortNodst Protocol TCP Flag
ftp/ftp tcp synのみ+他は-

で一番上部に記載してテストしてみましたが、やはり接続できないといわれます。
LAN内からのアクセスはできていますので、
FTPサーバが起動していない事はないと思います。
wwwのポートでサーバでの接続はできているのですが…


3点しか思いつきません。

No.10748 投稿時間:2003年06月22日(Sun) 17:53 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

可能性は3点あるような気がします。

1. フィルタの後ろの方の設定で帰りのパケットが通過しない。
ただ、WWWが通過しているのだと少し考えにくい。
前にも書きましたが、試験的に全てanyでpassしてしまうことで、切り分けできます。
これで、駄目なら、サーバです。
2. xinet.d経由で起動していて、only_fromで規制されている。
21番が繋がらないので、デーモンまで行っていないはずです。
proftpd.confでも規制できますが、ログイン規制なので21番は繋がります。
3. ファイヤウォール(iptables)で規制されている。

これぐらいしか、思いつきません。


inet.d経由の制限でした。

No.10753 投稿時間:2003年06月22日(Sun) 19:56 投稿者名:taku URL:

おやじさん
お返事ありがとうございます。

原因がわかりました。
おやじさんのおっしゃるとおり、
inet.d経由の制限でした。
スタンドアローンでの起動により成功しました、
しかし、どこを編集すれば良いのか不明だったため、
スタンドアローンでの起動で行う事にしました。

ちなみにOPTの場合
1.ルータのIPマスカレードで21をLinuxサーバに向ける
2.ルータのファイアウォールでLinuxサーバに宛の21ポートをスルーする
を行えば後はルータが行ってくれるようでした。

おやじさんの多大なお時間を割いてのご助言、本当にありがとうございました。


少し寄り道しましたが、良かったですね。

No.10754 投稿時間:2003年06月22日(Sun) 20:49 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

良かったですね。

> inet.d経由の制限でした。
> スタンドアローンでの起動により成功しました、
> しかし、どこを編集すれば良いのか不明だったため、
> スタンドアローンでの起動で行う事にしました。

おやじは、xinet.dしか知りませんのでこれはどなたかに譲るとして、
今回は、OPT90がPASV対応してくれているのでいいのですが、多くのPASV未対応ルータの場合は、
standaloneで起動してしまうと、WAN側のグローバルアドレスが変化した時に対応できないので
この方法での回避は駄目です。

> ちなみにOPTの場合
> 1.ルータのIPマスカレードで21をLinuxサーバに向ける
> 2.ルータのファイアウォールでLinuxサーバに宛の21ポートをスルーする
> を行えば後はルータが行ってくれるようでした。

当初のとおりでOKということですよね。ちなみにHPのほうを修正・加筆したいので
どのファームバージョンから対応したのか、どこに書いてあるか教えていただけませんか。


ご助言ありがとうございました。

No.10764 投稿時間:2003年06月22日(Sun) 22:20 投稿者名:taku URL:

http://www.mrl.co.jp/support/nwg/nwgopt90.htm
こちらの
Ver4.106.01 → Ver4.203.00

の欄に4.20.3でPASVFTP対応と記載してあります。
おやじさん、本当に今までご助言ありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|