VMWareのCentOS6.4でのFFFTPの接続に関する問題

前へ 次へ
このQ&Aのポイント
  • Windows8.1で、VMWare上にCentOS6.4をインストールしてFTPサーバーとしてFFFTPを動かす方法について質問です。
  • TeraTermでのSSH2の接続やWindowsホストとCentOSホストの通信は成功しているが、FFFTPでの接続ができない問題が発生しています。
  • FFFTPの接続に関する設定方法やiptablesの設定が間違っている可能性があるため、解決策を教えてください。
回答を見る
  • ベストアンサー

VMWareのCentOS6.4でのFFFTP

Windows8.1で、VMWare上にCentOS6.4をインストールしてFTPサーバーとしてFFFTPを動かしたいのですが、現在、TeraTermでのSSH2の接続、pingでのWindowsホスト<->CentOSホスト間の通信などは皆うまくいっています。また、CentOSのIPアドレスにアクセスして、/var/www/htmlのWebページにもアクセスできます。 しかし、何故か、FFFTPで接続しようとすると、 接続しました。(TCP/IPv4) SSH-2.0-OpenSSH_5.3 と出てきてしばらく経つと 受信はタイムアウトで失敗しました。 接続できません。 となります。 FTPサーバーは、下記の記事の通り、profptdをインストールして、xinetd経由で起動する方法を使っています。 http://blog.trippyboy.com/2013/centos/centos6-4-xinetd%E7%B5%8C%E7%94%B1%E3%81%A7proftpd%E3%82%92%E8%B5%B7%E5%8B%95%E3%81%95%E3%81%9B%E3%82%8B%E3%82%88%E3%81%86%E3%81%AByum%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%82%A4%E3%83%B3%E3%82%B9/ 後、iptables(ファイアーウォール)の設定は、下記のように記述しています。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # -A INPUT -i lo -j ACCEPT # -A INPUT -p icmp --icmp-type any -j ACCEPT # -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # -A INPUT -p tcp -m state --state NEW ! --syn -j DROP # -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT COMMIT iptables及び、FFFTPの設定方法などで、接続がうまくいかない理由とか分かるようであれば、情報をいただきたいのです。(centOSは今回使うのが初めてで、まだ全然詳しくありません。) よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.6

PSAVモード用にvsftpd.confの設定やiptablesの設定も必要になるかも知れません。 >とりあえず、Windowsのホストと仮想マシンのCentOS6.4のホスト間で ということなので、外部から接続されることもないでしょうしiptablesは止めてしまって問題無いんじゃないですかね。

tmiyoshi
質問者

補足

# chkconfig iptables off # sudo /usr/sbin/setenforce 0 # /usr/sbin/getenforce # <- Permissiveモードになっていることを確認 で解決致しました。 無事、転送できるようになりました。 ありがとうございました。

その他の回答 (5)

  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.5

>今度は何故か、FFFTPの基本設定で設定している「ユーザ名」と「パスワード」が合わないと言われて、 >再度入力してもログインできませんと言われてしまいます。 ユーザ名&パスワードにミスがないかは再確認を。 >500 OOPS:cannot changedirectory:/home/centos 「CentOS SELinux ftp」で検索してみましょう。

  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.4

>「拡張」のタブのところは、ポート番号が「22」 FTPは21番です。 再度確認しますが… SFTP(SSHプロトコルを利用したファイル転送)がしたいんですか? FTP(21番のコマンド用と別にデータ転送用のコネクションを必要とするセキュリティ的に弱いファイル転送)をしたいのか、どっちです? >というのがあるみたいですが、これらを使えということなのでしょうか? >どうやって使えばいいのでしょうか? 使ったことありませんので不明です。 SFTP使いたいならopensshに付属のsftp-server使いますし。 # ついでにCentOSでFTPサーバ使うならディストリビューションで用意されているvsftpd使いますね。

tmiyoshi
質問者

補足

すいません。基本的な所が理解できていませんでした。 とりあえず、Windowsのホストと仮想マシンのCentOS6.4のホスト間でディレクトリ構成になったかなりの量のデータを転送したいだけなので、凝ったproftpdはとりあえずは必要ありません。 それで、 # chkconfig xinetd off # chkconfig proftpd off # chkconfig vsfpd on に設定し直して、御指摘のFTPのポート番号をデフォルトの21番にしてやってみたのですが、 今度は何故か、FFFTPの基本設定で設定している「ユーザ名」と「パスワード」が合わないと言われて、 再度入力してもログインできませんと言われてしまいます。 500 OOPS:cannot changedirectory:/home/centos のエラーが出ています。この部分の「ユーザ名」と「パスワード」はCentOS6.4インストール時に設定したもので、TeraTermやCentOSが立ち上がった後のログインユーザの所でも使っていて、そこは問題なく入れています。上のエラー内容からまだFFFTPで設定が足りてない所とかあるのでしょうか?

回答No.3

ん? > 接続しました。(TCP/IPv4) > SSH-2.0-OpenSSH_5.3 SSHで接続ってのはおかしいですね。見落としてました。 SFTPで接続してるのでしょうか? > FFFTPの設定で、「拡張」というタブに「pASVモードを使う」という設定個所がある > そこの選択をはずしてやってみましたが、結果は変わりませんでした。 profptdの設定でアクティブモードを受けるようになってますか? サーバ側でtcpdumpでもしてみれば何が起きているのかわかるんですけどね...

tmiyoshi
質問者

補足

tcpdumpで見てみると、やはりSSHが動いています。 /etc/proftpd.confの中身に、コメント文で # Support for the SSH2, SFTP, and SCP protocols, for secure file transfer over # an SSH2 connection (http://www.castaglia.org/proftpd/modules/mod_sftp.html) # LoadModule mod_sftp.c # Use PAM to provide a 'keyboard-interactive' SSH2 authentication method for # mod_sftp (http://www.castaglia.org/proftpd/modules/mod_sftp_pam.html) # LoadModule mod_sftp_pam.c というのがあるみたいですが、これらを使えということなのでしょうか? どうやって使えばいいのでしょうか? また、これらは、xinetd起動の時にも使えるのでしょうか? 分かれば教えてください。

  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.2

>しかし、何故か、FFFTPで接続しようとすると、 >接続しました。(TCP/IPv4) >SSH-2.0-OpenSSH_5.3 FFFTPで接続したいのはわかりますが、どのプロトコルで接続したいんです? FTPサーバをインストールしたということはFTPプロトコルなんでしょうけど…。 FFFTPの設定を掲示してください。

tmiyoshi
質問者

補足

FFFTPの設定は、ホストの基本設定の箇所に、CentOS6.4をインストールした時の ホスト名やユーザ名、パスワードなどをそのまま設定しているだけで、特にたいした 設定をしているわけではありません。「拡張」のタブのところは、ポート番号が「22」 ネットワークの種類を「自動」にしています。

回答No.1

掲示されたiptablesの設定はアクティブモードによるFTP接続しかできないようですが、パッシブモードで接続していたりしていませんか? パッシブモードは接続後の通信ポート番号が変わるので、仰るような現象になります。

tmiyoshi
質問者

補足

FFFTPの設定で、「拡張」というタブに「pASVモードを使う」という設定個所があるのですが、 そこの選択をはずしてやってみましたが、結果は変わりませんでした。 まだ、どこか設定できてない個所とかあるのでしょうか?

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • iptablesの設定について

    Centos6.3の64ビットを使ってるのですが、iptablesの設定で -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT とまったく同じ記述なのに110ポートは開放できて25ポートは開放できないのですが何が原因なのでしょうか? サービスはカゴヤクラウドのタイプAを使用しています

  • CentOS 6.2 からWEBアクセスできません

    学習用に、以下の環境でCentOSをインストールしましたが、CentOSからWEBアクセスできません。 【環境】 VMWare Player 4.0.2 ホストOS:Windows 7 ゲストOS:Cent OS 6.2 【状況】 現時点で確認できた状況は次のとおりです。 ・Windows 7から、ブラウザによるWEBアクセスが可能。 ・Windows 7から、CentOS上で動作しているapacheのデフォルトページにアクセスが可能。 ・Cent OS 6.2 からブラウザ(Firefox)によるWEBアクセスが不可。  例えば http://www.google.com へのアクセスができない。(サーバーが見つかりませんでした、となる) ・Cent OS 6.2 のiptablesを停止すると、アクセス可能になる。 【/etc/sysconfig/iptables】 iptablesファイルの内容は次のようになっています。 インストール時の設定ファイルに、ポート80の設定を追加しただけ(のつもり)です。 (あれこれ試したせいで、それ以外に変更してしまった点もあるかもしれないのですが) *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT #-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT なぜ、CentOS からWEBアクセスできないのでしょうか?

  • さくらVPSのVPNサーバーの設定について

    お世話になります。 現在さくらVPSサーバー内にL2TPにてVPNサーバーを構築しているのですが、行き詰まっている点があります。 サーバー内にはWebサイトがあり、VPNサーバーとして使う一方、同時にブラウザでアクセスした際にサイトを表示させたいのですが、iptabelsの設定が上手くいかない状況です。 これらを両立させることは可能でしょうか。 【VPNは接続できるがサイトが表示されない】 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # L2TP/IPsec -A FORWARD -i ppp+ -j ACCEPT -A FORWARD -o ppp+ -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -j ACCEPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT *nat -A POSTROUTING -s 192.168.1.128/25 -j MASQUERADE COMMIT 【サイトは表示されるがVPNが接続できない】 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH, HTTP, FTP1, FTP2, MySQL -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 61203 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited # L2TP/IPsec -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A FORWARD -i ppp+ -j ACCEPT -A FORWARD -o ppp+ -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -j ACCEPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT *nat -A POSTROUTING -s 192.168.1.128/25 -j MASQUERADE COMMIT 【VPNが接続でき】且つ【サイトも表示させる】方法はあるのでしょうか。 またはそもそもVPNサーバーのみしか単独で動作しないのでしょうか? どうぞよろしくお願い致します。

  • SAMBAの設定に付いて

    VineでSAMBAを使用するにあたってiptablesに以下の設定を行いました。 しかし、WINDOWS側のネットワーク名WORKGROUPは表示されますが そこから先にアクセスすることができません。 Vine側のファイアーウォールを無効にすると問題なくアクセスできますが・・・ 原因は何が考えられるのでしょうか。 御存じの型がいらっしゃいましたらアドバイスをお願いします。 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT

  • 【 Fedora Core3 】 /etc/sysconfig/iptables

    DNSサーバ兼Webサーバに使おうと思っています。 SSHは使います。 (現在試験稼動中です。) セキュリティを強化するために是非ともご指摘・ご指南頂ければ幸いです。 よろしくお願いします。<(_ _)> /etc/sysconfig/iptables -- *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A FORWARD -j RH-Firewall-1-INPUT -A OUTPUT -pudp -m udp --dport 53 -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 244.0.0.251 -p udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISH -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT --

  • サーバーでポート587番が開放できない

    現在O社のVPSでメールサーバーを構築し、ポート587番を開放したくてiptablesの編集を行いましたが、開放されません。 O社のサポートに問い合わせをしても3日返事ももらえなくて困ってます。 有識者の方のアドバイスをいただきたくて投稿いたしました。 ● VPSのOSはCentos6.2です。 ● SELinuxは無効になっています。 ------------------------------------------------------- # iptables -n -L で確認すると次の用に出力されます。 --------------------------------------------------- Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination ------------------------------------------------------------------------------- ● cat /etc/sysconfig/iptables で確認すると以下のとおりです。 *** CKFILTER 省略 **** -A INPUT -i lo -j ACCEPT -A INPUT -s xxx.xxx.xxx.0/24 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -f -j LOG --log-prefix "FRAGMENT DROP:" --log-level 7 -A INPUT -f -j DROP -A INPUT ! -s xxx.xxx.xxx.0/24 -p tcp -m multiport --dports 135,137,138,139,445 -j DROP -A INPUT ! -s xxx.xxx.xxx.0/24 -p udp -m multiport --dports 135,137,138,139,445 -j DROP -A INPUT -p icmp -m icmp --icmp-type 8 -j PINGOFDEATH -A INPUT -d 255.255.255.255/32 -j DROP -A INPUT -d 224.0.0.1/32 -j DROP -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --sport 20 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --dport 4000:4029 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -m limit --limit 1/sec -j LOG --log-prefix "INPUT DROP:" --log-level 7 -A INPUT -j DROP -A FORWARD -m limit --limit 1/sec -j LOG --log-prefix "FORWARD DROP:" --log-level 7 -A FORWARD -j DROP -A OUTPUT ! -d xxx.xxx.xxx.0/24 -p tcp -m multiport --sports 135,137,138,139,445 -j DROP -A OUTPUT ! -d xxx.xxx.xxx.0/24 -p udp -m multiport --sports 135,137,138,139,445 -j DROP -A CKFILTER -j DROP -A PINGOFDEATH -m limit --limit 1/sec --limit-burst 4 -j ACCEPT -A PINGOFDEATH -j LOG --log-prefix "PINGDEATH DROP:" --log-level 7 -A PINGOFDEATH -j DROP COMMIT # Completed on Tue Apr 15 15:44:15 2014 ● iptablesの編集は次のスクリプト(http://centos.server-manual.com/centos6_iptables.html を参考にさせてもらっています。) -------------------------------------- なぜかポート587番は開放されません。 ● telnetで確認すると # telnet localhost 587 Trying 127.0.0.1... telnet: connect to address 127.0.0.1: Connection refused となります。 ネットでも検索しましたがヒットしませんでした。

  • scpコマンドでサーバー間のファイルコピー

    AサーバーのファイルをBサーバーに転送する方法について教えてください。 ウェブで情報を調べて実行してみましたがうまくいきません。 Aサーバーの/home/me/appをBサーバーの/home/me/testにコピー BサーバーのSSHのポート番号は●●●●に変更してある。 下記のコマンドを実行 scp -r -P ●●●● /home/me/app user@xxx.xxx.xxx.xxx :/home/me/test 応答メッセージ -------------------------------------------------------------------------- ssh: connect to host xxx.xxx.xxx.xxx port ●●●●: Connection timed out lost connection -------------------------------------------------------------------------- サーバーBのiptables -------------------------------------------------------------------------- *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport ●●●● -j ACCEPT -A INPUT -s (転送元サーバーのIPアドレス) -p tcp --dport ●●●● -j ACCEPT→追加した行 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -p tcp -m tcp --sport 20 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --sport 21 -j ACCEPT COMMIT -------------------------------------------------------------------------- サーバーAのiptablesも同じ記載方法です。 サーバーBのiptablesの設定はこれで良いか教えてください。 サーバーAのiptablesに変更が必要であれば記載方法を教えてください。 接続はSSHというのは解ったのですが、ファイルの転送自体は何で行われるのでしょうか?FTPなどでしょうか? ご回答宜しくお願い致します。

  • postfixでメール送信できません

    postfixでメール送信ができなくて困っています。 送信方法はmailコマンドです。 iptablesを切って実行すると送信できるので、iptablesの設定が原因だと想定しています。 解決できるようどうかお力添えをお願いします。 メールサーバの構築は以下のサイトを参考にしました。 http://morizyun.github.io/blog/postfix-centos-sakura-vps-aws/ ■環境 CentOS6.6 ■/etc/sysconfig/iptables (1)# mail以下を追加しました。 (2)IPアドレスはマスクをかけています。 # Generated by iptables-save v1.4.7 on Mon Mar 16 16:02:28 2015 # xxx.xxx.xxx.xxx/32 : localhost # yyy.yyy.yyy.yy/28 : company # zzz.zzz.zzz.zzz/32 : firewall *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :LOGGING - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 53022 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 53022 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 443 -j ACCEPT -A INPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 -j ACCEPT -A INPUT -s 210.188.224.14/32 -p udp -m udp --sport 123 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 80 -j ACCEPT # http -A INPUT -p tcp --dport 80 -j ACCEPT # mail -A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -m limit --limit 1/s -j LOG --log-prefix "[iptables INPUT] : " -A INPUT -j LOGGING -A OUTPUT -o lo -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p tcp -m tcp --sport 53022 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p tcp -m tcp --sport 53022 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --sport 443 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d 210.188.224.14/32 -p udp -m udp --dport 123 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 80 -j ACCEPT # http -A OUTPUT -p tcp --sport 80 -j ACCEPT # mail -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT -A OUTPUT -m limit --limit 1/s -j LOG --log-prefix "[iptables OUTPUT] : " -A OUTPUT -j LOGGING #-A LOGGING -m limit --limit 3/hour -j LOG --log-prefix "DROP:" -A LOGGING -j DROP COMMIT

  • iptablesの設定がうまく反映されません

    iptablesを有効にすると、サーバが公開しているウエブページの閲覧がローカル、外部ドメインともにできません。内部名前解決もできなくなってしまいます。メールもローカル、外部ドメインからも送受信できなくなります。 無効にすると、全て問題なく動作します。 iptables無効状態ではHTTP:80、HTTPS:443 SMTP:25/587、POP3:110/995、IMAP:143/993 は外部からポートスキャンで、アクセスできましたとなります。 iptablesを有効にすると、どのポート番号もポートスキャンで、アクセスできませんとなります。設定は下記のとおりです。有効状態で唯一、22番だけポートスキャンで成功します。 何がいけないのでしょうか。よろしくお願いします。 環境:CentOS6.2 、1台のサーバでApache,Bind,Postfix/Dovecot が稼動中です。 [root@hogehoge ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Tue Jun 12 22:39:14 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [24:2320] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A INPUT -s 192.168.0.0/24 -j ACCEPT -A INPUT -j LOG --log-prefix "[iptables] " --log-level 6 -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --sport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Tue Jun 12 22:39:14 2012

  • さくらのVPSでポート8080が開けられません

    さくらのVPSでポート8080が開けられません。 ポート22,25,80,443は既に開放されている、さくらVPSサーバーに、 新たにポート8080を開放しようとしたところ、うまく開放できませんでした。。 (開放確認は、ポートチェックツール:http://www.cman.jp/network/support/port.html でチェックしました) どなたか解決方法をご教授頂けないでしょうか・・・。 以下、入力したコマンドになります。 -------------------------------------------------- # iptables -I INPUT 8 -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT # service iptables save # service iptables restart # iptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 126 9970 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- any any anywhere anywhere 2 114 ACCEPT all -- lo any anywhere anywhere 2 152 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:ssh 4 240 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:smtp 0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:http 1 60 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:https 1 60 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:webcache 40 4154 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 124 packets, 30393 bytes) pkts bytes target prot opt in out source destination # iptables -L -v -n Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 160 12751 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 2 114 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 2 152 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 300 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080 42 4440 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited -------------------------------------------------- # vi /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7:1336] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT -------------------------------------------------- 以上、よろしくお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する