• ベストアンサー

FTP接続時のポートの設定について。

FTPについての質問です。 現在、FWの設定で、21番ポートを空けるなどの設定をしていますが、パケット見ると、50000台のポートなどを使って通信しているようで、 ${fwcmd} add allow tcp from any to 192.168.100.1 49152-60000 というように、範囲を指定してあけるようにしています。 FTP接続のその時々で、使っているポートが違いますが、大体50000台の番号を使っているので、この範囲にしました。 でも結局、ここまで広範囲のポートを空けているとかなりのセキュリティーホールですよね。 しかし、このあたりのポートを空けないとFTP通信ができないので困っています。 どのように設定すればいいでしょうか? FWマシンはFreeBSD 5.3Rです。

質問者が選んだベストアンサー

  • ベストアンサー
  • kenipi
  • ベストアンサー率29% (44/150)
回答No.4

192.168.100.1 が FTP サーバなんですよね?? クライアント側で PASSIVE をオフにして接続したらいいんじゃないかと思いますが,いかがですか? PASV OFF クライアント側 サーバ側 1.ポート6001番 →コマンド用  →ポート21番 2.ポート6002番 ←データ用   ←ポート20番 (6001,6002は例です)

usui323
質問者

お礼

回答ありがとうございます。 はい。よく考えたらPASVじゃなくていいんですよね。 ですが、内側→外側に出るパケットの許可をしていなかったので、 これでserver→clientにデータコネクションが確立できなかったみたいです。 20,21をあけるというルールのほかにこのルールを追加することで他のポートをあけなくても 通信することができるようになりました(^-^)

その他の回答 (3)

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.3

>パケットをキャプチャしてみても、データ通信のコネクションが確立してないんですよね。 50000番台のポートでアクセスしてきているので、ここで接続拒否されているようです。 コネクションの向きはServer からSYN が出されていますか? Server TCP:20 ----(SYN)----> Client TCP:50000

usui323
質問者

お礼

返事が遅くなってすいません。 問題解決しました! 内側からの接続を全て許可するというルールがなかったので、うまくいかないようでした。

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.2

うーんダメですか。。。 外部から内部FTP Server(192.168.100.1)へのアクセスですよね?

usui323
質問者

お礼

はい。 パケットをキャプチャしてみても、データ通信のコネクションが確立してないんですよね。 50000番台のポートでアクセスしてきているので、ここで接続拒否されているようです。 だから結局、この辺のポートあけなきゃできないんですよね。 普通はあけなくてもいいんですよね??? うーん。

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.1

こんにちは 基本的には、以下の設定がFTP のデフォルトのようです。 ${fwcmd} add allow tcp from any to ${oip} 20 setup ${fwcmd} add allow tcp from any to ${oip} ftp setup http://menter.rightstuff.co.jp/~yasu/server-memo/ipfw.html http://www.iiis.ne.jp/firewall/ http://takaq1.plala.jp/freebsd/firewall/firewall_2.htm クライアント側からPASV モードで接続してもNG ですか? http://www.atmarkit.co.jp/aig/02security/ftppasv.html

usui323
質問者

お礼

回答ありがとうございます。 この設定にしてみても、データ通信ができません。 アップロードしようとすると通信不能になりますね。 PASVにチェックしてもなんら代わりありません。 うーん。どうしても後ろのポートをあけとかないと通信できないですねぇ。 HP参考になりました。 ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • FTPで接続できない

    FFFTP -> FW -> FTPさば は接続できず、 FFFTP -> VPN -> FTPさば だと接続ができます。 FFFTP側とFTPサーバの設定は変えずに、 通信方法を変えるとつながるので、 FWが問題なのですが、 ポートは20,21を開放しており、開通確認もしました。 なのにFWを経由すると接続できません。 20,21以外にポートを開放しないといけないのでしょうか?

  • Ciscoルータでフィルタリングの設定方法をおしえてください。

    このルータは2つのLANポートを持っています。入ってくるパケットにフィルタリングをかけたいですが、設定が うまくいきません。 やりたいことは2つのマシンでソケット接続をし、TCP/IPで送受をするだけです。ただし、使用しているポートは 40071、40074です。この状況で不要なパケットにフィルタリングをしたいのです。 Q1.Ciscoのルータでは、「access-list 101 permit tcp any any eq telnet」でaccess-listを作成し、ポートに    適用することで、telnetのみ通過させるといった設定が可能ですが、この方法で上の40071と40074だけ    通過させるという設定は可能でしょうか。 Q2.逆に不要なパケットの通過を拒否する設定(例:access-list 102 deny tcp any any eq ftp)をして、ポートに   適用しました。この方法だと必要なものだけ通過すると思ったのですが、1つでも拒否の設定にすると   pingを投げたらcoreを吐いてしまいます。どうしてでしょうか。 大変困っています。おわかりの方は教えてください。 もし、上の2つ以外でも結構なのでフィルタリングのよい方法があったらおしえてください。 ようは、ルータをはさんだ2つのマシン間でpingが通り、上の2つのポートは開けておく。 この条件を満たすフィルタリング方法をおしえてください。

  • FTPのパケットが飛びません

    あるPC(Aとします)から同一セグメント上のサーバ(Bとします)へFTPがつながらなくて困っています。 この現象が起きたのは昨日からで、それ以前はきちんとつながりました。 FTPクライアントは NextFTP ですが、FFFTP にしてもだめ、Windows付属のコマンドラインのftp.exeでもダメです。 おかしいなと思ってパケットモニタ(http://homepage2.nifty.com/spw/software/vigil/)をマシンAに入れてパケットを覗こうとしましたが、A→B への通信を見ようとすると Port 80 ・・・正常 Port 25 ・・・正常 Port 21 ・・・パケット飛ばず というわけで Port 21 だけパケットが出ないという状況。 FTPクライアントを変えても同じです。 また、通信先をB以外のサーバーに変えてもやはり Port21は通りませんでした。 なにやらOSレベルで外部の PORT 21 への接続をブロックしているような挙動です。 マカフィのfirewallが入ってますが、このような設定をした覚えもなく、さっぱりわかりません。 原因を調べるとしたら他にどんな方法がありますか?

  • CiscoスイッチのVLANにFTPとNTPを許可したい(ftp通信のアクセスリストについて)

    FTPとNTPの通信について困っているので教えてください。 下記内容で、アクセスリストを作成し、FTPとNTPの通信を許可したいのですが、うまく行かず困っております。 どなたかお分かりになる方がいらっしゃいましたら、ご教授お願い致します。 -------------------------------------------------- ●構成 〔any〕- 〔スイッチVlan3〕-〔サーバ〕              interface3 ●ACL access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit udp any eq ntp any eq ntp access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any access-list 101 permit tcp any any established ●VLANにACLを適用 interface vlan 3 ip access-group 101 in ----------------------------------------------------- ポートが開放されているかどうかの確認方法を知らないため、httpsで確認出来るよう443を追加しました。 しかし、httpsは通信出来るのですがFTPにおいては、どうやらこれではうまく通信出来ないようなのです。 具体的に間違っているところを教えていただけると幸いです。 どうぞよろしくお願いします。

  • ルータでのftpに関するフィルタリング設定について

    YamahaRT54iというブロードバンドルータを利用しております。 このルータのパケットフィルタリング設定項目に、 インターネットからローカルネットワークへの、送信元ポートが20番のものについては、通過を許可するという設定があります。 これはつまりftpの設定で、ftpでパッシブモードではなくアクティブモードで通信する場合、ファイル転送用の通信路としてftpサーバーの20番ポートからクライアントであるこちら側へ経路が張られるから、これを許可しないと暗黙のdenyによってはじかれてしまいftp通信がうまくいかなくなることへの回避策なのですが、 これがオンにされることでどうしてftp通信がうまくいくのか理解できません。 というのもローカルネットワークはルータのNATによって隠蔽されているはずで、たとえローカルネットワークへのftpdata通信を許可したところで、送信先のローカルアドレスがわからないはずであり、したがって通信が成立するはずがないのですが、しかし実際にはうまくいきます。 例えばローカルネットワーク内でWebサーバーを運用した場合、ルータにてルータの80番ポートへのアクセスをWebサーバー機に転送するポートフォワーディングを設定しなければ通信がうまくいきません。しかしftpに関してそのような設定は一切行っておりません。にもかかわらず通信がうまくいくのはどうしてなのでしょうか? 説明が下手でわかりにくいでしょうが、よろしくお願いします。 長々と失礼しました。

  • ポートの開け方

    こんにちわ。ポート25と110を開けたくて困っています。 qmailでメールサーバを構築しようとしているのですが、メーラーで 受信しようとするとポート110に接続できないというエラーが出ます。 ルーターの静的IPマスカレードも設定していますので、何かの設定ファイルが 邪魔をしているのでは?と思います。 環境はRedHat8.0でqmail+tcpserver POP接続の設定です。 インストール時、inetdを使用しない、にしたので/etc/inetd.confはありません。 また、nmapで見てみると以下のレスポンスでした。 Port State Service 23/tcp filtered telnet 53/tcp open domain 80/tcp open http ファイアーウォールは設定していません。(設定した場合は上記から23ポートが 見えなくなっていました) tcpserverの設定は以下の通りです。 pop3d_rules 127.0.0.1:allow 192.168.0.:allow 自ドメイン.jp:allow :deny smtpd_rules 127.0.0.1:allow,RELAYCLIENT="" 192.168.0.1-3:allow,RELAYCLIENT="" 自ドメイン.jp:allow,RELAYCLIENT="" :allow どなたか何を直せば良いのか教えてください。どうぞ宜しくお願い致します。

  • オラクルの為に空けるポートは?

    kaituyoと申します。 今度FW(SonicWALL)を設置して、DMZにWebサーバを設置します。それで、ユーザーに対してサービスを提供するのですが、DMZ側のWebサーバとLAN側のDB(オラクル)を連動させる必要があります。そのとき、FWはどのポートを空ける必要があるのでしょうか? 調べた範囲では、 Web → DB 1521ポート (TCP) DB → Web anyポート (TCP) ではないのか?と思うのですが自信がありません。実際に導入した事例や、情報がのっているHPを教えてください。 よろしくお願いします。

  • FTPサーバに無線LANを介して接続できません

    お世話になります。 自宅にFTPサーバを立ち上げて、会社からFFFTPでアクセスしたいと思っています。 自宅の環境は下記通りです。 1)回線:Bフレッツ光 2)ルータ:NTT RV-230SE(IP アドレス 192.168.1.1) 3)無線LANルータ(親機側):Logitec LAN-WN12/RU2(IP アドレス 192.168.2.1) 4)無線LANコンバータ(子機側):プラネットコミュニケーションズ 電波王子GW-EC54-5P このコンバータに下記を接続しています。 5)パソコン:2台 6)ファイルサーバ:BUFFALO TeraStation(固定IP アドレス 192.168.2.103) このTeraStationをFTPサーバにしようとしていますが、会社からうまくアクセスできません。(TeraStationのIPアドレスを 192.168.1.103に変えて、無線LANを介さず、直接RV-230SEに接続したら会社からアクセスできましたが、別室にTeraStationを設置したいので無線LANを使用したいのです。) RV-230SEでは、主要なところ下記の通りに設定しています。 1)パケットフィルタ設定:通信方向(両方向)、宛先IPアドレス(192.168.2.103)、送信ポート(any)、宛先ポート(21)、フィルタ種別(通過) 2)静的NAT設定:宛先IPアドレス(192.168.2.103)、変換対象IPアドレス(自分のWAN側IPアドレス)、変換対象プロトコル(TCPとUDP両側)、変換対象ポート(ftp) 3)LAN側静的ルーティング設定:宛先アドレス/アスク長(192.168.2.103/24)、ゲートウェイ(192.168.2.1) ←このように設定しようすると「宛先アドレス/アスク長:ホスト部が異常です。」となります。 Logitec LAN-WN12/RU2では、主要なところ下記の通りに設定しています。 1)NAT機能(有効) 2)ポート転送(有効)、ローカルIP(192.168.2.103)、タイプ(TCP+UDP)、ポート範囲(21) 以上の設定で何か足りない点がありますでしょうか? LAN側静的ルーティング設定が出来ないのがよくわからないのですが? 初心者なものですから、なるべく具体的にお教え頂ければ幸いです。 また、わざわざ会社のパソコンから自宅のFTPサーバにアクセスせずに、自宅で外部(会社)からFTPサーバにアクセスできるか確認する方法があれば教えて下さい。 宜しくお願い致します。

  • 怪しげなポートフォワーディング設定

    先週、新しい家に引っ越しました。ひとつの家を6人でシェアしている家に新たなルームメイトとして参加することになりました。この家にはワイヤレスルータが設置されていてインターネットは問題なく使えるのですが、サーバを立てたかったので大家さんに聞いて管理者ログインのパスワードを聞き、管理者としてルータにログインしてみました。そこで、おびただしい数の怪しげなポートフォワーディング設定がされていることに気付きました。一部下記に貼り付けます。左からLAN開始・終了ポート、プロトコル、LAN IPアドレス、WAN開始・終了ポートです。 38450/38450 UDP 192.168.1.73 38450/38450 38450/38450 TCP 192.168.1.73 38450/38450 8621/8621 TCP 192.168.1.73 8627/8627 38450/38450 UDP 192.168.1.79 38451/38451 28137/28137 UDP 192.168.1.67 28137/28137 28137/28137 TCP 192.168.1.67 28137/28137 22767/22767 UDP 192.168.1.69 22767/22767 22767/22767 TCP 192.168.1.69 22767/22767 8621/8621 TCP 192.168.1.79 8621/8621 13501/13501 TCP 192.168.1.82 29404/29404 8126/8126 UDP 192.168.1.82 29404/29404 8733/8733 TCP 192.168.1.82 17678/17678 10660/10660 UDP 192.168.1.82 17678/17678 怪しいと思う点は以下。 1.聞いたことのないようなポート番号ばかりがLANポートに設定されている 2.やたら多くのマシンにポートフォワーディングが設定されている(恐らくほとんどのマシンは個人のパソコンであり、サーバではない) 3.プロトコル以外、全く同じ設定(同一マシン、同一ポート)が重複されて登録されている箇所がある 4.Advanced Port Scannerというソフトを使ってこれらのマシンにポートスキャンをかけてみたが、これらのLANポートは現在開いていない模様 5.設定が日々増えている。2、3日ほど毎朝チェックしてみたが、どうやら毎日2行くらい増えている模様(現在36行、恐らくこのルータは長い間設置されているので、どこかのタイミングで初期化されていると思われる) といった状況なのですが、ルームメイトの誰かがこのような設定を毎日追加しているとは思い難いし、これらの設定がどのような目的で使われているのかもわかりません。ひょっとしたら怪しげな設定を勝手に追加するマルウエアがルータにインストールされてしまったのではないかとも思っています。ちなみにリモートマネージメントは無効になっているので、外部の人間がリモートでログインする可能性は低いかと思っています。 このルータに何が起こっているのか、推測できる方いらっしゃいますでしょうか?そして、もしこれが悪意のある人間の仕業だとしたらどのような対策をしたら良いでしょうか?宜しくお願いします。

  • FTPの為のルーター設定について

    FTPサーバーを構築したのですが、 LANないからだとアクセスはできるのですが、 インターネット上からアクセスができません。 これはNATテーブルの設定を変えるのですが、 FTPに使うポートを開くと同じ意味なのですか? グローバルIPアドレスとプライベートIPアドレスのポートの 設定するということだと思うのですが。 ルーターのNAPT設定項目にWAN側の割り当て WAN側 受信ポート範囲 とあるのですが、これはLAN側のポート番号とは 違う物なのですか? 複数のマシンでFTPサーバーを開くとだぶってしまいますが。 NTTBフレッツマンションタイプ、プロバイダーはぷららですが、ルーターの設定方法はどこに問い合わせたらいいのでしょうか? ルーターはWeb Caster V110です。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する