- ベストアンサー
FTPのPASVモードについて
FTPでファイルをアップロードするプログラムを作っています。 そこで質問なのですが、 ・PORTモード、PASVモードはセキュリティ上どちらにしたほうがいいのでしょうか? ※PASVモードの説明を読んだのですが、データポートをランダムで割り当てる⇒ランダムで割り当てるポートのファイアウォールをあけておかなければならない⇒セキュリティが下がると感じたのでポートモードのほうがいいカナと思ったのですがどうなのでしょうか? ・PASVモードで接続する場合にWindows2000Server、Windows2003Serverで応答するポートを固定に指定できないでしょうか?やり方を教えてください。 よろしくおねがいします~
- Haule
- お礼率52% (125/240)
- ネットワーク
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
Uploadですよね。 セキュリティを気にする必要はないのでは。 ルータがIPマスカレード時にランダムにポート振るし、出て行くIPだから大丈夫です。 IISはPASIVEのポート指定はできなかったと思います。
その他の回答 (2)
- zenzen99
- ベストアンサー率40% (165/405)
最後の方読み飛ばしてた。。。 ネットワーク的には1.の通りだけど、 「LAN内」「サーバで」ってなるとちょっと微妙かも。 WAN口で20/21番止めておけばportモードでもいいし、 そもそもWAN口から入ってくるパケットは基本的に遮断してるならどっちでも良いと思う。 しつれいしました。
- zenzen99
- ベストアンサー率40% (165/405)
「セキュリティ面を考慮して」ということならば 機知のFTPポートを空けておくほうが危険度は高いと思う。 クライアント側からランダムにポートを決めて通信許可するので、 FWでSynを止めればよいだけ。 FTP-SV → WAN → FW → LAN → FTP-CL →方向のSynフラグのパケットは拒否 ←方向のSynフラグ付きパケットは許可 アプリケーションをどのように作りこんで、どう通信させたいのかわからないけど 一般的には上記の形。 ポート開放については若干取り違えている気がするけど、 どちらにしても開放すべき通信はあるので、 「片方向の通信は諦める(PASSIVEにしてLANからWANへの通信制御はツーツー)」か 「特定のポートについては全開放(Portモードを使う)」か二択だと思う。 http://www.atmarkit.co.jp/fwin2k/win2ktips/118ftpmode/118ftpmode.html
関連するQ&A
- FTPのパッシブモードの設定がうまくいきません
FTPのパッシブモードの設定をしたいのですが、うまくいきません。 FTPサーバはvsftpdです。 vsftpd.confに次の設定はしました。 ------------------------------ pasv_addr_resolve=YES pasv_address=WANのアドレス pasv_min_port=60000 pasv_max_port=60099 ------------------------------ /etc/sysconfig/iptables-configに ------------------------------ IPTABLES_MODULES="ip_conntrack_ftp" ------------------------------ を設定しました。 lsmodで nf_conntrack_ftpがロードされているのを確認しました。 ルーターはNTTのRT-200NEで、 静的IPマスカレード設定で上記のTCP:21とTCP:60000-60099をFTPサーバのアドレスに設定しました。 iptables でも上記のポートは許可しています。 パソコンおやじさんのFTPサーバテストでPASVモードで接続テストを行いました。 http://www.aconus.com/~oyaji/ftp_tst/ftp_tst.htm すると、60101とかpasv_max_portで設定した値より上のポートで接続しようとしてタイムアウトになるようです。どうやら、ルーターで設定した値の少し上のポートで接続をしようとするようです。ルーターの設定を変更すると、ポート番号がそれにつれて変更します。 環境は OS: Fedora Core 6 FTPサーバ: vsftpd (Fedora Core 6に付属のものをアップデートしたもの) ルーター: NTT RT-200NE 回線: Bフレッツ (固定IP) どなたか、解決策をご存知の方教えていただけないでしょうか? よろしくお願いいたします。
- ベストアンサー
- Linux系OS
- FTP PASV後毎回425になる件
お読み頂き有難う御座います。 FTPでPASVを使用しファイルを送信する際、初回Put時『425 Cannot open data connection.』となります。PASVモードを指定し数秒待ったあと、Putしても同様 の現象です。 サーバ側の設定等で対処可能なのか、クライアント側による425が返却された場合 にリトライを行う対処が正しいのか、ご経験のあるかたアドバイスをお願いします。 【環境】 サーバOS:WindowsServer2019 サーバポート解放状況:20,21,65500-65510 クライアントOS:Windows10 【コマンドログ】 C:\Users\xxxxxxxx>ftp -d xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx に接続しました。 220 Microsoft FTP Service ユーザー (xxx.xxx.xxx.xxx:(none)): xxxxxxxx ---> USER xxxxxxxx 331 Password required パスワード: ---> PASS asonetestpass 230 User logged in. ftp> bin ---> TYPE I 200 Type set to I. ftp> quote PASV ---> PASV 227 Entering Passive Mode (xxx,xxx,xxx,xxx,xxx,xxx). ftp> put hoge.txt ---> PORT xxx,xxx,xxx,xxx,xxx,xxx 200 PORT command successful. ---> STOR hoge.txt 150 Opening BINARY mode data connection. 425 Cannot open data connection. ftp> put hoge.txt ---> PORT xxx,xxx,xxx,xxx,xxx,xxx 200 PORT command successful. ---> STOR hoge.txt 125 Data connection already open; Transfer starting. 226 Transfer complete. ftp> ftp> by ---> QUIT 221 Goodbye.
- 締切済み
- Windows系OS
- ftpサーバーのデータ転送について
ftpサーバーからクライアントへのデータの転送は可能だったのですが ftpサーバーへクライアントからのデータの転送が叶いません いろいろしらべ回ったかぎり原因はパッシブモードを使用する際の 1024番以上の任意のポートの開放を行っていないためだということがわかりました そのため"vsftpd.conf"に #passive pasv_enable=YES pasv_min_port=10100 pasv_max_port=10150 を追加してvsftpdを再起動したのですが ポートを確認してもそれ等は解放されておらず データの転送もできませんでした 何が間違っているのでしょうか?
- ベストアンサー
- ハードウェア・サーバー
- FTPサーバのPassiveポートが変わる
Windows2003 Serverにて、IIS,SMTP,POP3,FTPサービスを起動し、 サーバはグローバルIPを取得してWebを公開して利用しています。 今までFTPをPORTモードでしか使っておらず、今回、PASVモードでも使えるように しようとして「PassivePortRange」を「10000-11000」と設定しました。 サーバと同じセグメントにあるLANのPCからはPROTモードでもPASVモードでも 接続(上記設定のPassivePrtRange内のポートで接続)して利用できるのですが、 WAN側からはPORTモードでしか接続できません。 クライアントではFFFTPを利用していますが、WANからPASVモードで接続しようとすると、 サーバ接続まではできた後、リスト取得時のPASVコマンド発行後に帰ってくるサーバからの ポート番号が、上記設定内のポート番号とは程遠い(60000番台)が帰ってきてリスト取得に 失敗していまいます。 ルータはYAMAHAのRT58iを利用し、グローバルIPでのサーバ参照は IP mascaradeを設定して公開しています。 サーバ側の設定はLANで設定したポートで接続できているので問題ないと思われ、 ルータの設定のフィルタ設定が悪いのだと思いますが、どこが悪いのか、 どう設定すれば良いのかが分かりません。 どなたか、分る方がいらっしゃいましたら教えてください。 よろしくお願い致します。
- ベストアンサー
- Windows系OS
- FTPサーバ間でのデータ転送について
FTPサーバ間でファイルやりとりしたいなと思って調べていたら、PASVモードを上手く使えば できるようなことをネット上に書いてありました。 http://www.atmarkit.co.jp/fnetwork/rensai/netpro11/netpro01.html ただ、具体的な方法論まで書いたページを見つけられず。。 もし識者の方がいれば教えて欲しいのですが、次のようなことは可能でしょうか。 ●目的「LAN上のFTP機能があるNASから、単独でネット上のFTPサーバとデータのやりとりをしたい」 ファイヤウォールのあるルータの下にFTPサーバ機能がついたNASがあります。 LAN内に外部に公開しているFTPサーバはありませんので、ルータのポートは自由にあけれます。 可能ならば、おそらく、WAN上のFTPをPASVモードにして、そこに繋ぎにいくという形になるのかなという気はしています。 可能な場合、以下について教えていただけると嬉しいです。 ・どのようなソフトを使って実現すればいいでしょうか。 TELNETでやる場合、どのようなコマンドを送ればいいでしょうか? (linux、Windowsどちらのソフトでも構いません。 転送中常時起動が必要なソフトならばlinuxのものだと嬉しいです) ・ルータのポートは空けないといけないものはあるでしょうか。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- FTPサーバーでパッシブモードを使えるようにしたい
当方、FTPサーバーを立ち上げています。 セキュリティ等も多少考慮してルーター経由で必要なポートだけあけるようにし、DMZ機能でサーバーマシンへIPを割り振ってます。 さて、FTPサーバーを立ち上げたのですが、クライアントがパッシブモードにチェックするとアクセスできなくなります。 外せば繋がる人もいますが、外すとまったくリストが取得できなくなり、結局いれても外しても接続不可能ってクライアントもいます。 当サーバーでもパッシブモードを有効になるようにしたいのですが、具体的にどうしたらいいのでしょうか? ルーターはマイクロ総研のNetGenesisOPT50です。 サーバーのOSはWIN2Kpro FTPサーバーはBPFTPv2.15です。 ルーターからはポート20と21はサーバーに割り振るようDMZ設定をしてあります。 他にあけなければならないポートがあるのでしょうか? よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- PASVモード、filezillaでアクセス不可
いつもお世話になります。 vsftpdのパッシブモードで、FileZillaでFTPS形式でアクセスしようとしたところ 下記エラーが表示されます。(ポートは30020番を指定) FileZillaでサイトマネージャーの転送設定はパッシブにしてあります。 ======================================================================== 状態: 192.168.1.xx:30020 に接続しています... 状態: "ECONNREFUSED - Connection refused by server" への接続に失敗しました, エラー: サーバーに接続することができませんでした ======================================================================== なお、ポート指定しない場合(通常のFTPS)はFTPサーバ(vsFTPd)に繋がります。 vsFTPdの設定は以下の通りです。 ===============================vsFTPコンフィグ============================= # vi /etc/vsftpd/vsftpd.conf anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES xferlog_std_format=YES connect_from_port_20=YES ascii_upload_enable=YES ascii_download_enable=YES ls_recurse_enable=YES chroot_local_user=YES chroot_list_enable=NO # chroot_list_file=/etc/vsftpd/chroot_list listen=YES pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES #FTPS ssl_enable=YES rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem force_local_logins_ssl=YES force_local_data_ssl=YES #TimeOut(60分に変更) data_connection_timeout=3600 idle_session_timeout=3600 #vsftpd の設定(パッシブ FTP) pasv_enable=YES pasv_max_port=30020 pasv_min_port=30021 ======================================================================== 以上です。 ご教授の程よろしくお願い申し上げます。
- ベストアンサー
- Linux系OS
- Fortunecity に FTP できません
ログインはできているみたいなのですが、 ----- connecting to 216.27.93.22:21 Connected to 216.27.93.22 port 21 220 server ready. Enter Username. USER xxx 331 Welcome 'xxx', enter password to login. PASS (hidden) 230-Welcome to FortuneCity.Com. Your quota is 102400Kb. You have used 50Kb. If you have trouble downloading please try using Passive(PASV) Mode. 230 User 'xxx' login successful. PWD 257 "/" is the current directory. SYST 215 UNIX Type: L8 Host type (S): UNIX (standard) PASV ! Receive error: Blocking call cancelled PORT 172,16,3,146,9,159 200 PORT command successful. Data port is 210.81.164.242 port 53112. LIST 550 'data socket': Connection refused ! Retrieve of folder listing failed (0) --- という感じで、アップロードもできなければ、 サーバ側のファイルのリストも表示されません。 ちなみに、FTPクライアントは、Fortunecity 推奨の WS_FTP LEというソフトを使ってみました。 FFFTP でも、ブラウザでFTPサイトにアクセスしても やっぱりダメです。 なぜなんでしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- FTPのパケットが飛びません
あるPC(Aとします)から同一セグメント上のサーバ(Bとします)へFTPがつながらなくて困っています。 この現象が起きたのは昨日からで、それ以前はきちんとつながりました。 FTPクライアントは NextFTP ですが、FFFTP にしてもだめ、Windows付属のコマンドラインのftp.exeでもダメです。 おかしいなと思ってパケットモニタ(http://homepage2.nifty.com/spw/software/vigil/)をマシンAに入れてパケットを覗こうとしましたが、A→B への通信を見ようとすると Port 80 ・・・正常 Port 25 ・・・正常 Port 21 ・・・パケット飛ばず というわけで Port 21 だけパケットが出ないという状況。 FTPクライアントを変えても同じです。 また、通信先をB以外のサーバーに変えてもやはり Port21は通りませんでした。 なにやらOSレベルで外部の PORT 21 への接続をブロックしているような挙動です。 マカフィのfirewallが入ってますが、このような設定をした覚えもなく、さっぱりわかりません。 原因を調べるとしたら他にどんな方法がありますか?
- 締切済み
- ネットワーク
- FTPサーバにアクセスできません
相手方は、Red Hat Linux 7でFTPサーバー(フレッツADSL)をたてています。そこに入りたいのですが、つながりません。 備考 ・設定でウチの会社のドメインしか許可していないことになっています。 ・PASVモードを使ってくれ、といわれています。 PASVモードにチェックを入れて接続するのですができません。 エラーメッセージは以下のとおりです。 IDとパスワードの認証までいってないみたいです。 ホストを探しています - ××××× ホストに接続しています - ××××× < ホストから切断されました。 > < ホストに接続できませんでした。 > ■質問 ・会社からのFTPはよくやっています。これまで問題が起きたことは なかったのですが、なぜアクセスできないのでしょう? 考えられる原因は? ・「ファイアーウォール」にチェックを入れる必要はあるのでしょうか? ・IDとパスワードは間違ってないと思います。指定されたホスト名の前に FTPとかWWWを入れる必要はあるのでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
お礼
皆様レスありがとうございました。 出て行くポートなので大丈夫なのですね。 気にせずPASVモードで通信してみたいと思います。