投稿日:2007年01月31日 作成鷹の巣

No.21302 光プレミアム環境におけるPASV接続が出来ない



光プレミアム環境におけるPASV接続が出来ない

No.21302 投稿時間:2007年01月31日(Wed) 04:50 投稿者名:パタ吉 URL:

失礼します。
当方、光プレミアム環境でのサーバ公開を行おうとしており、
CTUの設定に際し、鷹の巣様のサイトのCTU設定を参考にさせて頂きました。
しかしながら、いまだWAN・LAN内からPASVモードによるFTP接続(FFFTPを使用)が行えない状態です。
LAN内からのPASVモードは仕様であるとしても、外部から出来ない点が気がかりです。
また、PORTモードでは、LAN・WAN共に問題なく接続出来ております。

環境は、動的IPでDiCEを使用し、独自ドメインで運営。
FedoraCore6(2.6.19-1.2895)にvsftpd(2.0.5-8)をデーモンとして入れております。
DNSサーバは構築しておりません。
以上の環境で、vsftpd.conf に以下の設定を記し、3000~3049をPASV用としております。

---

pasv_addr_resolve=YES
pasv_address=hoge.com  ← hoge.com は例えです
pasv_min_port=3000
pasv_max_port=3049

---

この状態で、CTUの設定から、鷹の巣様の「自宅サーバー用CTUファイアウォール設定例(SPI使用時)」に準拠し、
「静的アドレス変換設定(ポート指定)」で「3000~3049」をサーバのローカルIPに向け、
「ファイアウォールを詳細設定」で、「送信先ポート 3000~3049」を許可するという形を取りました。
そこで、パソコンおやじ様のサイトからPASVモードでのFTP Testを行うと以下のように、失敗するのです。

---

220 Welcome to blah FTP service.
-->USER anonymous
331 Please specify the password.
-->PASS oyaji@mail.aconus.com
230 Login successful.
-->XPWD
257 "/"
-->TYPE A
200 Switching to ASCII mode.
-->PASV

Error999: タイムアウトしました。(10 sec)
☆☆☆ テストは異常終了しました。☆☆☆

---

試しにCTUの設定を「制限無し」に変更し、再度テストを行うと正常に終了します。
従って、問題はサーバのSELinuxやiptabelsではなく、CTUのファイアウォール機能だと
問題の切り分けを行ったのですが、僭越ながら鷹の巣様のサーバにPASVモードでの
anonymous接続を行うと、なにも問題なく、ファイル一覧が取得できます。
ということは、もし仮に鷹の巣様がサイトに掲載されている
「自宅サーバー用CTUファイアウォール設定例(SPI使用時)」をそのまま使用しているのであれば、
OS、FTPデーモン、DNSサーバ構築の違いはあれど、そこまで大きな違いはないのに接続出来ないと言うことになります。
より正確に言えば、接続は出来ているが、PASVモードでの一覧取得が出来ないとでも言いましょうか。
それが出来ていると言うことは、どこか設定を変えているのでしょうか?
クライアント側のFTPソフトを変えたり、ポート番号を60000番台に飛ばしたり、
ファイアウォールの設定を変更してみたりしましたが、全く先に進めず四苦八苦しております。

なお、問題があるのはPASV用に使用する3000~3049番のポートのみで、
80,21,22番などWell-Known portに関しては問題なく動作しております。

PASVでの接続に関し、問題点があればご教示頂けませんか?
情報が欠落しているのであれば、可能な限り晒しますので、宜しくお願いします。


Re: 光プレミアム環境におけるPASV接続が出来ない

No.21303 投稿時間:2007年01月31日(Wed) 09:09 投稿者名:松元 URL:

passiveでのアンサーが無いのは変ですね。ログに何かありますか。
鷹の巣さんがCTU設定で何も書かれていないようなので、CTUはftp対応が行なわれているのではないですか
それなら
pasv_addr_resolve=YES
pasv_address=hoge.com 

pasv_addr_resolve=NO
#pasv_address=hoge.com  
にしないと逆に動作不良を起こします。
その状態でファイヤーウォールをはずして、おやじさんの所で再度テストして見てください。

それで動くならftpの問題でなくFWの問題になります。


Re^2: 光プレミアム環境におけるPASV接続が出来ない

No.21305 投稿時間:2007年01月31日(Wed) 19:06 投稿者名:パタ吉 URL:

松本様、お返事有り難う御座います。
CTU、iptables共にログには何も残っていなかったのですが、

pasv_addr_resolve=NO
#pasv_address=hoge.com

に変更し、CTUのFWを動作させた状態で試験してみたところ、問題なく動作しました。
以前NTTに問い合わせたところ、「CTUにFTP通信を仲立ちする機能はない」と言われたのですが、
どうもこの情報自体が間違いだったようですね。
「pasv_addr_resolve=NO を行えば、pasv_address=hoge.com はコメントアウトしなくてもいい」
という間違った認識があったのも、問題点を追求できなかった原因ですね。

有り難う御座いました。


Re^3: 光プレミアム環境におけるPASV接続が出来ない

No.21309 投稿時間:2007年02月01日(Thu) 14:47 投稿者名:松元 URL:

> pasv_addr_resolve=NO
> #pasv_address=hoge.com

ごめんなさい。パッシブ使う場合は YES です。

pasv_addr_resolve=YES
#pasv_address=hoge.com

で行なってみてください。


申し訳ありません。間違いました。

No.21311 投稿時間:2007年02月05日(Mon) 01:38 投稿者名:鷹の巣 URL:

申し訳ありません。間違いました。
SPIを使用して、FTPのPASVは、難しいですね。項56に

56 許可 全接続先 IPv4・IPv6 LAN→WAN TCP SYN
  送信元-すべてのアドレス 3000~3049
  送信先-すべてのアドレス すべてのポート

を追加して駄目であれば、SPI未使用を試してください。


> 試しにCTUの設定を「制限無し」に変更し、再度テストを行うと正常に終了します。
> 従って、問題はサーバのSELinuxやiptabelsではなく、CTUのファイアウォール機能だと
> 問題の切り分けを行ったのですが、僭越ながら鷹の巣様のサーバにPASVモードでの
> anonymous接続を行うと、なにも問題なく、ファイル一覧が取得できます。
> ということは、もし仮に鷹の巣様がサイトに掲載されている
> 「自宅サーバー用CTUファイアウォール設定例(SPI使用時)」をそのまま使用しているのであれば、
> OS、FTPデーモン、DNSサーバ構築の違いはあれど、そこまで大きな違いはないのに接続出来ないと言うことになります。

> なお、問題があるのはPASV用に使用する3000~3049番のポートのみで、
> 80,21,22番などWell-Known portに関しては問題なく動作しております。
>
> PASVでの接続に関し、問題点があればご教示頂けませんか?

作成日が示しますようにこのサイトの現在の設定は、
自宅サーバー用CTUの設定例(SPI未使用時)
http://sakaguch.com/SetCTUfirewallSPIoff.html
になっています。


# ブラウザから、ftp://ftp.example.com/でアクセス可能にするには、
# PASVにする必要がありますので、近いうちに追記致します。

公開している設定例は、このサイトの設定をわかり易く簡素化していますので、
不備な点がありましたら、今後もご指摘願います。


Re: 光プレミアム環境におけるPASV接続が出来ない

No.21313 投稿時間:2007年02月05日(Mon) 17:08 投稿者名:LR URL:

vsftpdで違う事をしようとしたら、けっこう難しい?って聞いたことがあります。
こんな情報見たことありますが、何か役にたたないかな?

#情報
vsftpdでポート番号を変更する
こんなに苦労すると思わなかった
[Linux]

FTPサーバのポート番号を8021,8020に、PASSIVEで使いたい。
vsftpd.confにおいて

connect_from_port_20=NO
pasv_enable=YES
pasv_address=***.***.***.***
listen_port=8021
pasv_min_port=8020
pasv_max_port=8020

port番号がもっと空けれる人はmin_port,max_portの数値差をつけてやればよろしい。
最初、listen_port=8021(control)さえ設定してやればdataは-1で自動設定してくれるだろう、
とどっかのサイトの言葉を鵜呑みにしてしまったのではまった。
私がうまく行ったのは上記パターンでした。
ルータが噛んでると(最近は噛んでるほうが一般的だと思うが)pasv_addressがキーになるかもしれない。
私の場合グローバル固定IPを設定したが、ダイナミックDNSでやってる人はどう設定するのだろう?
LAN内部からのFTPもどうするんだ?

ということで、vsftpdはちょっと違うことやるときは苦労する、というお話でした。


目次掲示板過去ログ目次▲頁先頭