- 締切済み
FTPのポート変更に伴う接続障害
はじめまして。 小さな会社ですがデータサーバーなるものを作りたいと思いたち、現在WIN XP proでFTPserverを立てたのですが、セキュリティーの関係からポートを変えた所接続できません。 サーバーソフトはCerberus FTP Serverです。 21番で通信は出来ました。 しかし変更後75番でのグローバル接続ができません。 ローカルIP:75は接続できます。 しかしグローバルIP:75だとログイン画面まで行くのですがやり取りをしてくれません。 サーバー側のログを見るとログインしていますのままで、結局タイムアウトになり接続解除という形になります。 固定IPに近い状態ですのでドメインなどは取得していません。 ファイヤーウォールなどは例外、NAS機能も75をローカルのサーバーIPに通す設定にしました。 グローバルIPでのポートスキャンをかけた所75番ポートは開放されいていまいた。 よろしくお願いします。 またよければFTPなどのパケットを監視するおすすめのソフトを教えていただければ幸いです。
- gita-
- お礼率57% (123/213)
- ハードウェア・サーバー
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
みんなの回答
最初に設定するポート番号ですが ウェルノウンポート番号 (0–1023) 登録済みポート番号 (1024–49151) となっています。 自由に利用できるポート番号 (49152–65535)を使ってください。 PASVモードの場合 アドバンスド設定の”PASV Port Range”に設定されてポート範囲の通信をルータで有効にしてください。 パケットのモニターは「Wireshark」を使っています。
- Wr5
- ベストアンサー率53% (2177/4070)
>では一般的なルーターの場合ですとアクティブモードでやる場合21番ポートが変更されないため、データなどのコマンドがルーターによって捨てられるという事ですか? FTPのコマンドポートを通過するパケットを覗き見していないルータでは、アクティブモード(データコネクションをサーバから貼る)でFTP通信できません。 その為、パッシブモードでクライアント側から接続します。 で、コレはクライアント側の問題。 今回はサーバ側のコマンドポートを変更していますので、クライアント側もコマンド内容の覗き見はできません。 パッシブモードならクライアント側はコマンドポートが変わろうが関係ありませんが、 サーバ側のルータはそういうワケにはいきません。 # パッシブモードの場合、クライアントからの接続を受け付け、正しくサーバ機へ転送できないと接続できません。 >たとえばアクティブモードで21番と75番を開けてやればアクティブでの通信は可能ということですか? アクティシィブモードで指定するのは「接続先(間際らしいですがクライアント側)のポート番号」です。 通常は暗黙で20番が使われているコトになりますが。 http://gigazine.net/news/20101008_cerberus_ftp_server/ 「PASV Port Range」で適当な範囲を設定して、 サーバ側のルータでその範囲の接続要求をサーバ機に転送する。 と設定して、クライアントにはパッシブモードの使用をお願いする。 というので良いかと。 # もちろん設定した範囲はサーバ機のセキュリティソフトでも許可するようにする必要があります。 ルータによっては監視しているコマンドポートの結果を書き換えてクライアントに送信し、待ち受けポートを変更してくれるものがあったりしますが… この場合、パッシブモードでも正しく動作しない場合があります。 ウチのサーバ(Linux)はFTPは開けていないですねぇ。 SSH開けておけばSFTPでファイルやりとりできますし。
お礼
度重なる質問に丁寧かつ親切に教えて下さり感謝致します。 もやもやが一つ解決しました! >SSH開けておけばSFTPでファイルやりとりできますし。 そうなんです。いずれはセキュリティの高い仕様、 サーバーを作っていきたいと考えているのですが現在手探り状態です。 教えて下さたった事を踏まえ、もう一度構築していきたいと思います。 ありがとうございました。
- Wr5
- ベストアンサー率53% (2177/4070)
ルータがFTPに対応していた…のですな。 FTPは2つのポートを使用します。 コマンドのやりとりをする21番と、データのやりとりをする「任意のポート」があります。 通常だとクライアントからサーバの21番ポートに接続して認証やコマンドを発行します。 データポートは「サーバからクライアント」に向けて接続を張ります。 で…FTPに対応しているルータだと、サーバへ21番ポートのパケットを中継する際に中を覗いて 「サーバからクライアントへの接続要求」をクライアントへ転送するように処理してくれています。 この時、パケットを除くのは「TCPの21番ポート」ですので、コマンド用のポート番号を変更すると この機構が動作しない為、外部からの接続を捨てます。 よって、コマンドの実行結果(ファイルの内容など)が受け取れなくなります。 PASVモードの場合、データポートも「クライアントからサーバ」へ接続しますので、ルータの内側に居ても問題はりません。 が、サーバ側になる場合はクライアントからの接続要求をサーバに転送しなければなりません。 この時の接続ポートはやはりサーバ側からのコマンドで通知されるので、そのポートを監視していないとルータが外部からの接続を破棄してしまいます。 FTPサーバソフトにPASVモードでのポート番号を設定できるのであれば、その範囲をサーバへ転送するようにすることで接続可能になります。 ちょっと古いですが… http://www.aconus.com/~oyaji/router/ftp.htm 辺りが参考になるでしょう。 >またよければFTPなどのパケットを監視するおすすめのソフトを教えていただければ幸いです。 ルータでパケット破棄されていなければ… wiresharkなら一通り眺められるかと。 ターゲットとするFTP以外のパケットも大量に出てきますが…。
補足
お礼遅くなり申し訳ございません。 では一般的なルーターの場合ですとアクティブモードでやる場合21番ポートが変更されないため、データなどのコマンドがルーターによって捨てられるという事ですか? たとえばアクティブモードで21番と75番を開けてやればアクティブでの通信は可能ということですか? お願いします。
関連するQ&A
- ftpのポート変更
初めて質問します。 環境は、Windows Server 2003でIIS 6.0を使用してます。 ftpの制御ポート番号を21番→1000番(例)に変更したいと思ってますが、上手くいきません。 ポート番号を21番のまま接続すると、問題なくULもDLもできるのですが、1000番にすると、サーバーへの接続はできますが、listの取得ができません。 ちなみに、接続方法はアクティブモードです。 どなたかお判りでしたらご教示頂けませんでしょうか。
- 締切済み
- その他(インターネット・Webサービス)
- FTPサーバーをたてて外部からNASにアクセス
NASのFTPサーバー機能を利用して出先からNASにアクセスしたいのですが うまくできません。ご助言お願いいたします。 使用しているNASはI/O DATA社のLandiskです。 自分なりに行った行程は以下の通りです。 1.NASの機能設定で「FTP機能を有効」にする。 2.NASのローカルIPを固定する。 3.ルーターのポート設定で 20/21番ポートに来たデータを NASのローカルIPに届けるようにする。 以上で自分のパソコンのブラウザから「ftp://NASのローカルIP」で 共有フォルダにアクセスは出来ました。が、 その後、インターネット上に公開する方法がわかりません。 無料で取得できるDDNSサービス(Dynamic DO!.jp)に登録し、ドメインを取得しました。 IPアドレスを更新した後、ブラウザに「ftp://取得したドメイン名」と入力したのですが 「このフォルダにアクセスできません。ファイル名を正しく入力したことと、フォルダにアクセスするための アクセス許可があることを確認してください。詳細:サーバーとの接続がリセットされました。」 とのエラーが出てアクセスできません。 もとよりあまり詳しくないので、これからどうすれば良いのかわからなくなっています。 自分的には、ポートの設定に何か勘違いがあるように感じているのですが・・・。 どなたかご助言をお願いいたします。mm
- ベストアンサー
- その他(インターネット接続・通信)
- FTPのデータとポート
質問させていただきます。 FTPには、ポートとしてデータ(20番)と制御(21番)がありますが、一般にポートを変更すると言った場合、後者の制御を変えると思いますが、例えばポートを変更した場合でもデータは実際には20番を通っているのでしょうか? また、これは余談なのですが、友人が、FTPのポートを変更した私のFTP鯖に接続しようとしたところ、パスワード確認の後固まってしまいました。原因がまったく予想できないので、もし少しでも分かる方がいらっしゃいましたら、ヒントでもいただけるとうれしいです。 使用ソフトは「BulletProof FTP Server」(体験版)です。
- ベストアンサー
- ネットワーク
- FTPサーバーのポート解放
FTPサーバーを構築途中なのですが、ポート開放の所で詰まってしまいました。 設定(ルータ・ファイアウォール)を見直したのですがポートが開放できなくて困っています。 21番ポートは開放できましたが、同じ手順で20番ポート開放を行ったところできません。以下の環境でFTPサーバを構築しました。 【OS】Windows XP 【CPU】Pentium3 【メモリー】512MB 【FTPサーバーソフト】Tiny FTP Daemon 【FTPクライアントソフト】FFFTP・コマンドプロンプトのFTPコマンド 【ルータ】BBR-4HG(バッファロー) 【ファイアウォール】WindowsXPについているもの 【試したこと】 ・ルータ、ファイアウォールの設定 ・パソコンの再起動 ・プライベートアドレス、127.0.0.1での接続(ちゃんと接続できました) 自分では、必要事項は書いたつもりですが記入漏れがあればご指摘ください。 検索で調べてみたのですが、解決できませんでした。お知恵をお貸しください。よろしくお願いいたします。
- 締切済み
- ネットワーク
- V110でのポート開放
現在192.168.1.3でFTPサーバを、 192.168.1.2をノートパソコンとして使っています。 V110のNAPT設定で20~21番ポートをローカルIPの192.168.1.3の21番 ポートに転送するよう設定していて、 離れた友人のパソコンからftp://10.10.10.10などと V110がWAN側で取得したIPアドレスで接続してもらうと うまく接続できるのですが、私の192.168.1.2のノートパソコンや FTPサーバ自身からftp://10.10.10.10に対して接続すると接続が できません。ftp://192.168.1.3だとうまく接続できるのですが何故 でしょうか。友人に公開する前に自分でグローバルIP経由で接続 できることを確認してから連絡したいのですが、その確認が自分で できなくて困っています。分かる方いましたらお願いいたします。
- 締切済み
- その他(インターネット接続・通信)
- NASをFTPサーバーにするやり方
NASをFTPサーバーにするやり方 他支社間で仕事データを共有するために、 使用中のNASをFTP接続出来るようにしたいです。 ●NASはIOデータのHDL-GT ●ルーターはコレガのBARプロ6 まず、NASの共有フォルダをFTPクライアントから接続できるように 設定するところまではできました。 社内LANのローカルIPを指定すれば接続できることを確認しています で、これで外部からも接続できるものと思ってましたら、 いろいろとまだ設定が足りないようで、以下の話を調べたり、聞いたりしています。 1.ルーターのポートを開放する必要がある 2.外部からは、グローバルアドレスで接続する必要がある 装置の配線はこんな感じになっています 光の装置-ルーター-ハブ-ハブ-NAS-ハブ-PC -PC -PC グローバルアドレスについては、たぶんこれじゃないかというのは 教えてもらったのですが、固定IPなのかはよくわかりません。 ここからさき、どのようにしていけばFTPサーバを完成できるでしょうか? よろしくお願いします
- ベストアンサー
- その他(インターネット接続・通信)
- FTPサーバーにつながりません
ftpがつながらなくて困っています。 サーバーOS:CentOS55 FTPデーモン:vsftpd クライアントOS:Windows7 64bit FTPクライアント:ffftp、コマンドラインftp 以下がサーバー側のtcpdumpの出力です。 > listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes > 16:07:04.889394 arp reply ftpserver1 is-at xx:xx:xx:xx:xx:xx (oui Unknown) > 16:07:08.062745 IP ftpserver1 > client1: ICMP host ftpserver1 unreachable - admin prohibited, length 60 > 16:07:11.062984 IP ftpserver1 > client1: ICMP host ftpserver1 unreachable - admin prohibited, length 60 > 16:07:13.936708 arp who-has client1 tell ftpserver1 > 16:07:17.063159 IP ftpserver1 > client1: ICMP host ftpserver1 unreachable - admin prohibited, length 56 > 16:08:01.045901 IP ftpserver1.ssh > client1.57231: . ack 621500864 win 65 > 16:08:05.888126 arp reply ftpserver1 is-at xx:xx:xx:xx:xx:xx (oui Unknown) (xx:xx:xx:xx:xx:xxとなっているのは、FTPサーバーのMACアドレスです) この「ICMP host ftpserver1 unreachable - admin prohibited」というのが怪しいというところまでは解りますが、どこがどうマズいのかがわかりません。どうしたらいいでしょうか? 以下補足です。 ・パッシブ、アクティブ、ともにつながりません。 ・お互いpingは通ります。 ・クライアントのWindowsファイアウォールはoffにして試しています。 ・sshはつながりますので、ネットワーク全般の問題ではないようです ・サーバー上のFTPクライアントから自分自身にはつながるので、デーモンが死んでいるということはないようです。 ・関係あるかどうかわかりませんが、実際にはサーバーはVmWare Player上で動作しています。接続はホストオンリー接続です。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- ルーターにてFTPポート開放設定(ポートマッピング)時のポート番号のつけ方
こんにちは 自宅LANにパソコン(192.168.0.5)とNAS(192.168.0.6)がありルーター経由でWANとつながっています。 現在ルーターにて192.168.0.5のポート20、21を開放する設定をしておりWAN側からFTPクライアントで自宅パソコンの共有フォルダにアクセスできています。 ここで更にWAN側からNASにもアクセスしたいのですが、WAN側から192.168.0.6に接続するには何番のポートを開放すればよいのでしょうか?(FTPのWell Known Portである20、21は既に使っていますので何番ポートを使えばいいのかが分かりません) よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- ポートが開けなくてもFTPサーバは作れる?
タイトルの通りなのですが、社内のLANでファイアーウォールの中にいます。それでグローバルIPももらえない状況ですが、ローカル内であればWindows XP でポートが開くことができなくてもFTPサーバを構築することはできるのでしょうか? ローカル限定になってしまうと思うのですが・・。 もしできるならWindows XP で構築する場合、簡単に作り方の手順を大まかでよいのでおしえていただけるとうれしいです。
- ベストアンサー
- ハードウェア・サーバー
- ポート変換利用時のFTPサーバへのアクセスについて
現在、WAN側60000ポートをS1(サーバ1)へポートを21へと変更し転送する設定にしてあります。 そして様々なテストの結果、ルータ、ISP、サーバともに問題は発生していないものと分かりました。 普通に21番ポートをポート変換なしでS1へ転送させるように設定し、21番からアクセスすると、正常にアクセスできるのですがポートを60000にして21に変換するようした場合にはこのFTPサーバへはアクセスできません。 なぜできないのですか? パッシブ→クライアントからはReplacing site address ローカルIP with グローバルIPとなり、connection timeout!と出てアクセスできません。 ("ローカルIP"と"グローバルIP"の部分にはそれぞれ正常な値が入っています。*ローカルIP→サーバーローカルIP) アクティブ→エラーメッセージは出ませんが、ファイルやフォルダが一切表示されず、アップロード゛も不可能 なぜできないんでしょうか? サーバーまではたどり着いているようですが。。。 それと、どうすればよいのでしょうか? どなたかご教授お願いします。 --------まとめ---------- ~アクセス正常~ 静的アドレス変換 ポート指定:21 ~アクセスできない~ 静的アドレス変換+ポート変換 WANポート指定:60000 LANポート指定:21
- ベストアンサー
- その他([技術者向] コンピューター)
お礼
ご回答遅くなってしまって申し訳ございません。 ウェルノウンポートの存在は知っていましたが、気に止めていませんでした。 49152以上を使用したいと思います。 現在四苦八苦な状態ですか皆様のアドバイスを受け止め、安全なサーバー運用に関する知識をつけていきたいと思います。 アドバイスありがとうございました。