投稿日:2003年07月15日 作成鷹の巣

No.11160 追加疑問 FTPサーバーのポートについて



追加疑問 FTPサーバーのポートについて

No.11160 投稿時間:2003年07月15日(Tue) 22:38 投稿者名:じーまん URL:

ルーター下でFTPサーバーを運用の際に鷹の巣のルーター設定例をそれぞれ見ると
20番と21番両方を開放している設定例と21番だけを開放している設定例がありますが
なぜなのでしょう??
当然、開放するポートは少ない方が望ましいですよね?
ルーターの種類によって臨機応変に対応しているだけなのでしょうか??


ある意味ではあってます。

No.11161 投稿時間:2003年07月15日(Tue) 23:30 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

こんばんは。

> ルーター下でFTPサーバーを運用の際に鷹の巣のルーター設定例をそれぞれ見ると
> 20番と21番両方を開放している設定例と21番だけを開放している設定例がありますが
> なぜなのでしょう??
> 当然、開放するポートは少ない方が望ましいですよね?
> ルーターの種類によって臨機応変に対応しているだけなのでしょうか??

ある意味ではあってます。FTPにおける20番ポートとは何かを考えれば答えははっきりしてます。自宅FTPサーバにとっての20番は、Activeモード時にFTPdがデータコネクションを設定する時の自分のポート番号です。つまり、20番ポートでクライアントがPORTコマンドで通知してきたポート番号にコネクション張ることデータコネクションが張られますが、これはルータにとっては家庭内クライアントが外部のWebサーバにアクセスするのと同じ通信形態なので、設定は不要です。
逆に、自宅側がクライアントだと接続先のFTPdがソースポートが20番でアクセスしてくるので、外部から通信が始まります。従って、一般論で言えば何もしなければ繋がらないのですが、家庭向けのBBRは家庭側からそのFTPdにFTPでアクセスしたことを覚えていて、同じ宛先から20番をソースポートとする接続があると、ペアを意識しており要求元のクライアントに中継してくれるようになっています。(一種のステートフルインスペクション機能です。)従って、特に20番に対する設定は不要ですが、おやじのように、フラグを使って積極的にフィルタをかけている場合はそうもいかず、ソースが20番のパケットを明示的に開放してあげているのです。


参考にさせて頂きます。

No.11165 投稿時間:2003年07月16日(Wed) 09:38 投稿者名:じーまん URL:

ほ~ほ~ スゴイよくわかりました!
参考にさせて頂きます。 有り難う御座いました



> こんばんは。
>
> > ルーター下でFTPサーバーを運用の際に鷹の巣のルーター設定例をそれぞれ見ると
> > 20番と21番両方を開放している設定例と21番だけを開放している設定例がありますが
> > なぜなのでしょう??
> > 当然、開放するポートは少ない方が望ましいですよね?
> > ルーターの種類によって臨機応変に対応しているだけなのでしょうか??
>
> ある意味ではあってます。FTPにおける20番ポートとは何かを考えれば答えははっきりしてます。自宅FTPサーバにとっての20番は、Activeモード時にFTPdがデータコネクションを設定する時の自分のポート番号です。つまり、20番ポートでクライアントがPORTコマンドで通知してきたポート番号にコネクション張ることデータコネクションが張られますが、これはルータにとっては家庭内クライアントが外部のWebサーバにアクセスするのと同じ通信形態なので、設定は不要です。
> 逆に、自宅側がクライアントだと接続先のFTPdがソースポートが20番でアクセスしてくるので、外部から通信が始まります。従って、一般論で言えば何もしなければ繋がらないのですが、家庭向けのBBRは家庭側からそのFTPdにFTPでアクセスしたことを覚えていて、同じ宛先から20番をソースポートとする接続があると、ペアを意識しており要求元のクライアントに中継してくれるようになっています。(一種のステートフルインスペクション機能です。)従って、特に20番に対する設定は不要ですが、おやじのように、フラグを使って積極的にフィルタをかけている場合はそうもいかず、ソースが20番のパケットを明示的に開放してあげているのです。


|目次|掲示板|過去ログ目次|▲頁先頭|