よろしくお願い致します。
外出先のWindows2000から自宅のPC(RedHat8.0 vsftpd-1.1.0-1)
にFTPアクセスすると下記のようになってしまってlsコマンドが使えません。
大学のUNIXからだと問題無くアクセスでき、lsコマンドも使用できます。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\>ftp jitaku.dnydns.net
Connected to jitaku.dnydns.net.
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
User (jitaku.dnydns.net:(none)): user01
331 Please specify the password.
Password:
230 Login successful. Have fun.
ftp> ls
200 PORT command successful. Consider using PASV.
425 Failed to establish connection.
どうすればlsコマンドが使用できるようになるのでしょうか?
何か特別なツールが必要なのでしょうか?
こんばんは。
> 外出先のWindows2000から自宅のPC(RedHat8.0 vsftpd-1.1.0-1)
> にFTPアクセスすると下記のようになってしまってlsコマンドが使えません。
> 大学のUNIXからだと問題無くアクセスでき、lsコマンドも使用できます。
>
> Microsoft Windows 2000 [Version 5.00.2195]
> (C) Copyright 1985-2000 Microsoft Corp.
> C:\>ftp jitaku.dnydns.net
> Connected to jitaku.dnydns.net.
> 220 ready, dude (vsFTPd 1.1.0: beat me, break me)
> User (jitaku.dnydns.net:(none)): user01
> 331 Please specify the password.
> Password:
> 230 Login successful. Have fun.
> ftp> ls
> 200 PORT command successful. Consider using PASV.
> 425 Failed to establish connection.
>
> どうすればlsコマンドが使用できるようになるのでしょうか?
> 何か特別なツールが必要なのでしょうか?
条件が全て見えないので、はっきりしませんが。
一つはFTPのモードの違いです。UNIXのFTPクライアントのデフォルトはPASVであり、大学からということは、ファイヤウォールの関係でPASV以外では繋がるとは思えません。
一方、このログはActive(PORT)モードのログですから、chikakoさんの自宅FTPサーバの環境がPASVは問題なく動作できる環境で、Activeが?の状態です。Activeが?というのは、外出先からという環境が不明なため、クライアント側の問題かどうかがこれだけの情報では切り分けられません。外出先からという環境がクライアントがグローバルアドレスを持っている環境、つまりダイヤルアップや携帯等経由ならサーバ側の問題が大です。
外出先といわれる環境で、-dオプション付きでftpを起動してログを乗せてくれれば、もう少し原因を狭めることができると思います。当然、クライアントの環境も。
ftp -d jitaku.dnydns.net
遅くなりまして申し訳有りません。昨日外出先にいけました。
ご回答ありがとうございます。
> 一方、このログはActive(PORT)モードのログですから、chikakoさんの自宅FTPサー
> バの環境がPASVは問題なく動作できる環境で、Activeが?の状態です。Activeが?と
> いうのは、外出先からという環境が不明なため、クライアント側の問題かどうかがこ
> れだけの情報では切り分けられません。外出先からという環境がクライアントがグ
> ローバルアドレスを持っている環境、つまりダイヤルアップや携帯等経由ならサーバ
> 側の問題が大です。
> 外出先といわれる環境で、-dオプション付きでftpを起動してログを乗せてくれれ
> ば、もう少し原因を狭めることができると思います。当然、クライアントの環境も。
> ftp -d jitaku.dnydns.net
外出先(クライアント)の環境は最近、
http://cdn.excite.co.jp/service/course/
の500円フレッツADSLコースに加入しました。
|
スプリッタ─電話
|
ADSLモデム(MSU00642457ADSLモデムMS2-SPLR)
|
ルータ(NTT-ME MN128-SOHO-PALVersion1.11)
|
PC(Windows2000pro)
という風になっています。
(ルータに関しての設定は初心者なのでは特別な設定はしていません。単にpppoe接続設定のみです)。
「-d」を付けた場合は以下のようになりました。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\>ftp -d jitaku.dnydns.net
Connected to jitaku.dnydns.net.
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
User (jitaku.dnydns.net:(none)): user01
---> USER user01
331 Please specify the password.
Password:
---> PASS xxxxxxxx
230 Login successful. Have fun.
ftp> pwd
---> XPWD
257 "/home/user01"
ftp> cd fat32
---> CWD fat32
250 Directory successfully changed.
ftp> pwd
---> XPWD
257 "/home/user01/fat32"
ftp> ls
---> PORT 192,168,0,102,4,146
200 PORT command successful. Consider using PASV.
---> NLST
425 Failed to establish connection.
ftp>
因みに
http://sources.redhat.com/cygwin/
のInstall or update now!からダウンロード・フルインストールしてみました。
すると、
$ ftp -d jitaku.dnydns.net
Connected to jitaku.dnydns.net.
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
Name (jitaku.dnydns.net:FOO): user01
---> USER user01
331 Please specify the password.
Password:
---> PASS XXXX
230 Login successful. Have fun.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive
Passive mode on.
ftp> pwd
---> PWD
257 "/home/user01"
ftp> cd fat32
---> CWD fat32
250 Directory successfully changed.
ftp> pwd
---> PWD
257 "/home/user01/fat32"
ftp> ls
---> PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,167,7)
ftp: connect: Connection timed out
ftp>
という風になりました(xxx.xxx.xxx.xxxは自宅のグローバルアドレスです)。
やはりこれでもダメでした。これはPASSモードになっているのですよね?
ところで気がついたのですがどうしてls以外のコマンドは使用できるのでしようか?
(lsは特別なのですかね)
こんばんは。
書いていただいた内容で、全く理解できないものがあります。学校からはUNIXのFTPコマンドでPASVでアクセスできているのに、出先からはPASVでうまくいっていないという内容です。環境が違うとはいえ、PASVはクライアント側に依存する内容は、まずないと認識しており、これに関しては、おやじは皆目検討がつきません。
何かが違っているからうまくいかないのでしょうが、説明しきれていないことはありませんか?
まず切り分けとして、おやじのFTPテストでPASV/Active両方やってどうなりますか?恐らくどちらも駄目で、学校からうまくいったと言うのが、???? その後も問題なく使えてますか?
事実をはっきりさせるため、まず、おやじのFTPテストの結果をお知らせください、試験番号も忘れずに。
推測ですが、サーバ側からPASVの応答としてグローバルアドレスが通知されていますが、恐らく意識してこうなっているのではないと思われます。vsftpdはNATルータ対策はできないと思います。従って、ルータが勝手に書き換えているのだと思います。(NECのDR202とか、CoregaのSW-4P Proとか使用していませんか)
であれば、データコネクションのポート番号がコントロールされていないので、うまくサーバにフォワーディングできていない可能性があります。PASVのアドレスをルータがいじっているなら、そのポート番号はサーバにつないでくれるとは思うので、もしかしたらバグかもしれません。
本来、ルータがやる仕事ではないので、やるなら仕様公開してほしいものです。かってにやられて、バグがあるとどうしようもありませんから。
lsは特別かというご質問は FTP通信の仕組みやNAT越えの問題点についておやじのHPにたくさん書いてあります。で、既に読まれていてのご質問と理解して。
lsは特別かといえば、それ以前のコマンドはすべて制御コネクション(サーバ側21番ポート)でやり取りされていますが、lsやget/putのように実データをやり取りする場合は、制御は制御コネクションでやりますが、実データはデータコネクションを使って転送します。出ているメッセージは、このコネクションが張れないというエラーメッセージです。データコネクションはActiveモードとPassiveモードでコネクションを張る方向が違いますので、それぞれ張れない原因も異なってきます。
どもです。
的はずれかも知れませんが、vsftpdのほうに問題があるみたいなので以下を参照しては
どうでしょうか?
--- 一部伐採 ---
どうやらvsftpdの設定が原因のようです。
vsftpdのデフォルト設定ではlsで再帰的にディレクトリ以下のファイルを表示する
ことができないようになっているようです。
--- 終わり ---
http://linux.fken.ise.osaka-sandai.ac.jp/98061
ご回答大変ありがとうございます。
> どもです。
> 的はずれかも知れませんが、vsftpdのほうに問題があるみたいなので以下を参照して
> は
> どうでしょうか?
> --- 一部伐採 ---
> どうやらvsftpdの設定が原因のようです。
> vsftpdのデフォルト設定ではlsで再帰的にディレクトリ以下のファイルを表示する
> ことができないようになっているようです。
> --- 終わり ---
> http://linux.fken.ise.osaka-sandai.ac.jp/98061
早速、試してみました。
# grep -v ^# /etc/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
ascii_upload_enable=YES
ls_recurse_enable=YES
pam_service_name=vsftpd
としてみましたがやはり、何故かlsコマンドだけ上手く行きません。
/var/vsftd.logには特に何もメッセージは有りませんでした。
ルータ(MN128-SOHO-PALVersion1)のパケットフィルタリング設定には
ip filter 51 reject in 10.0.0.0/8 * * * * remote 0
ip filter 52 reject in 172.16.0.0/12 * * * * remote 0
ip filter 53 reject in 192.168.0.0/16 * * * * remote 0
ip filter 54 reject out * 10.0.0.0/8 * * * remote 0
ip filter 55 reject out * 172.16.0.0/12 * * * remote 0
ip filter 56 reject out * 192.168.0.0/16 * * * remote 0
ip filter 57 reject in * 192.168.0.1/32 tcpest * * remote 0
ip filter 58 reject in * * tcpest * * remote 0
ip filter 59 reject dns qtype 6
ip filter 60 reject out * 169.254.0.0/16 * * * remote *
ip filter 61 restrict out * * tcpfin * * remote *
ip filter 62 restrict out * * * * 137-139 remote *
ip filter 63 restrict out * * * 137-139 * remote *
ip filter 64 restrict out * * udp 137 domain remote *
ip route 0.0.0.0/0/7 remote 0 auto
と記述してありました。これはデフォルトの状態だと思います。
こんばんは。
> ルータ(MN128-SOHO-PALVersion1)のパケットフィルタリング設定には
これは、クライアント側の話ですよね? クライアント側の要件はほとんどないので、サーバ側の状態がどうなっているのかわからないと始まりません。テスト結果はどうなのでしょうか? おやじはPASVが大学からうまくいっていて、他から駄目というのが理解できません。
> > ftp -d jitaku.dnydns.net
> 外出先(クライアント)の環境は最近、
> http://cdn.excite.co.jp/service/course/
> の500円フレッツADSLコースに加入しました。
>
>
> |
> スプリッタ─電話
> |
> ADSLモデム(MSU00642457ADSLモデムMS2-SPLR)
> |
> ルータ(NTT-ME MN128-SOHO-PALVersion1.11)
> |
> PC(Windows2000pro)
>
>
> という風になっています。
> (ルータに関しての設定は初心者なのでは特別な設定はしていません。単にpppoe接続設定のみです)。
>
ふと思ったのですが、変則的な環境ですけど ADSLモデム−ISDNダイアルアップ・ルータの構成
って、問題無いのでしょうかね?
こんばんは。
> > |
> > スプリッタ─電話
> > |
> > ADSLモデム(MSU00642457ADSLモデムMS2-SPLR)
> > |
> > ルータ(NTT-ME MN128-SOHO-PALVersion1.11)
> > |
> > PC(Windows2000pro)
> >
> >
> > という風になっています。
> > (ルータに関しての設定は初心者なのでは特別な設定はしていません。単にpppoe接続設定のみです)。
> >
> ふと思ったのですが、変則的な環境ですけど ADSLモデム−ISDNダイアルアップ・ルータの構成
> って、問題無いのでしょうかね?
MN128-SOHO-PALってISDNダイアルアップ・ルータなんですね。変則というよりどうやって繋がっているのかわからないですね。ルータの名前が違うのでしょうか?pppoe接続設定というのも変ですね。これはPCのこと?
もう少し、正確に環境を書いてもらったほうがいいと思います。
> MN128-SOHO-PALってISDNダイアルアップ・ルータなんですね。変則というよりどうやって繋がっているのかわからないですね。ルータの名前が違うのでしょうか?pppoe接続設定というのも変ですね。これはPCのこと?
> もう少し、正確に環境を書いてもらったほうがいいと思います。
そーですよね、どうも出先側のほうに問題がありそうな感じです。
全体的に情報不足なのでサーバ環境やら、出先環境やら、今まで試した事とか
ffftpで試したり ftpログインしてから helpコマンドで使えるコマンドが表示するのかとか…。
更に、おやじ殿のFTPテストでの結果状況とかも書かれてないので、1度整理して書いてもらいたいです。
あと出先クライアントから大学のUNIXにftpログインして lsが出来るかどうかも試して欲しいです。
chikakoさんの試す事はたくさんあるので、自分なりに色々と調べてやってみてからでないと
こちらもフォロー出来ません。
こんばんわ。ご回答ありがとうございます。
> これは、クライアント側の話ですよね?
はい、そうです。
> クライアント側の要件はほとんどないの
> で、サーバ側の状態がどうなっているのかわからないと始まりません。テスト結果は
> どうなのでしょうか?
http://www.aconus.com/~oyaji/ftp_tst/ftp_tst.htm#riyou
の事だったのですね。
テスト条件
TEST No. ホスト ユーザ パスワード ファイル ファイルタイプ 転送モ−ド 試験モード
4475 xxx.xxx.xxx.xxx anonymous oyaji@mail.aconus.com test.txt ASCU Active GET
ホスト(xxx.xxx.xxx.xxx)のポート(21)に接続中です。(2003/05/04 19:46:03)
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
-->USER anonymous
331 Please specify the password.
-->PASS oyaji@mail.aconus.com
230 Login successful. Have fun.
-->PWD
257 "/"
-->TYPE A
200 ASCII tastes bad, dude.
-->PORT 219,97,30,157,154,133
200 PORT command successful. Consider using PASV.
-->LIST
150 Here comes the directory listing.
d--x--x--x 2 0 0 4096 Mar 18 16:58 bin
d--x--x--x 2 0 0 4096 Mar 18 16:10 etc
drwxr-xr-x 2 0 0 4096 Mar 18 16:10 lib
drwxr-sr-x 2 0 50 4096 Jun 23 2002 pub
-rw-r--r-- 1 0 0 2 Jul 14 2000 test.txt
226 Directory send OK.
-->TYPE A
200 ASCII tastes bad, dude.
-->PORT 219,97,30,157,154,134
200 PORT command successful. Consider using PASV.
-->RETR test.txt
150 Opening BINARY mode data connection for test.txt (2 bytes).
226 File send OK.
-->QUIT
221 Goodbye.
☆☆☆ テストは正常終了しました。☆☆☆ (2003/05/04 19:46:05)
テスト条件
TEST No. ホスト ユーザ パスワード ファイル ファイルタイプ 転送モ−ド 試験モード
4476 xxx.xxx.xxx.xxx anonymous oyaji@mail.aconus.com test.txt ASCU Passive GET
ホスト(xxx.xxxx.xxx.xxx)のポート(21)に接続中です。(2003/05/04 19:46:53)
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
-->USER anonymous
331 Please specify the password.
-->PASS oyaji@mail.aconus.com
230 Login successful. Have fun.
-->PWD
257 "/"
-->TYPE A
200 ASCII tastes bad, dude.
-->PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,236,2)
-->LIST
Error999: タイムアウトしました。(30 sec)
☆☆☆ テストは異常終了しました。☆☆☆ (2003/05/04 19:47:23)
となりました。サーバ(RH8.0)側のiptablesの全ポリシ・ルールをACCEPTにしましたら
テスト条件
TEST No. ホスト ユーザ パスワード ファイル ファイルタイプ 転送モ−ド 試験モード 4477 xxx.xxx.xxx.xxx anonymous oyaji@mail.aconus.com test.txt ASCU Passive GET
ホスト(xxx.xxx.xxx.xxx)のポート(21)に接続中です。(2003/05/04 19:48:39)
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
-->USER anonymous
331 Please specify the password.
-->PASS oyaji@mail.aconus.com
230 Login successful. Have fun.
-->PWD
257 "/"
-->TYPE A
200 ASCII tastes bad, dude.
-->PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,82,58)
-->LIST
150 Here comes the directory listing.
d--x--x--x 2 0 0 4096 Mar 18 16:58 bin
d--x--x--x 2 0 0 4096 Mar 18 16:10 etc
drwxr-xr-x 2 0 0 4096 Mar 18 16:10 lib
drwxr-sr-x 2 0 50 4096 Jun 23 2002 pub
-rw-r--r-- 1 0 0 2 Jul 14 2000 test.txt
226 Directory send OK.
-->TYPE A
200 ASCII tastes bad, dude.
-->PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,146,196)
-->RETR test.txt
150 Opening BINARY mode data connection for test.txt (2 bytes).
226 File send OK.
-->QUIT
221 Goodbye.
☆☆☆ テストは正常終了しました。☆☆☆ (2003/05/04 19:48:41)
という風に上手くいきました。クライアント側(大学と外出先)で使用するポートが違うのですかね。
サーバ側のポート40000:60000を開けないとダメでした。
PSSV_PORT='40000:60000'
ANY='0.0.0.0/0'
/sbin/iptables -A INPUT -p tcp -s $ANY --dport $PSSV_PORT -i ppp0 -j ACCEPT/sbin/iptables -A OUTPUT -p tcp ! --syn --sport $PSSV_PORT -d $ANY -o ppp0 -j ACCEPTこれまでの事から推測するとサーバ側のポート40000:60000を開けずとも常に上手くいってた大学のUNIX
はACTIVモードのように思えます。実際、
FTP> ?
としてもpassiveコマンドは表示されません。
とすると外出先(クライアント)からアクセスするには
サーバ側のポート40000:60000を開けてPASSIVモードでアクセスするか、
外出先のルータ(NTT-ME MN128-SOHO-PALVersion1.11)でポート20のアクセスを
PC(Windows2000pro)への転送許可するかのどちらかなのですね。
ところで、もう一度テストしてみると、あれれれっ!?
テスト条件
TEST No. ホスト ユーザ パスワード ファイル ファイルタイプ 転送モ−ド 試験モード 4510 xxx.xxx.xxx.xxx anonymous oyaji@mail.aconus.com test.txt ASCU Passive GET
ホスト(xxx.xxx.xxx.xxx)のポート(21)に接続中です。(2003/05/04 21:23:41)
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
-->USER anonymous
331 Please specify the password.
-->PASS oyaji@mail.aconus.com
230 Login successful. Have fun.
-->PWD
257 "/"
-->TYPE A
200 ASCII tastes bad, dude.
-->PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,214,8)
-->LIST
150 Here comes the directory listing.
d--x--x--x 2 0 0 4096 Mar 18 16:58 bin
d--x--x--x 2 0 0 4096 Mar 18 16:10 etc
drwxr-xr-x 2 0 0 4096 Mar 18 16:10 lib
drwxr-sr-x 2 0 50 4096 Jun 23 2002 pub
-rw-r--r-- 1 0 0 2 Jul 14 2000 test.txt
226 Directory send OK.
-->TYPE A
200 ASCII tastes bad, dude.
-->PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,89,66)
-->RETR test.txt
Error999: タイムアウトしました。(30 sec)
☆☆☆ テストは異常終了しました。☆☆☆ (2003/05/04 21:24:11)
更にもう一度、試してみると
テスト条件
TEST No. ホスト ユーザ パスワード ファイル ファイルタイプ 転送モ−ド 試験モード 4512 xxx.xxx.xxx.xxx anonymous oyaji@mail.aconus.com test.txt ASCU Passive GET
ホスト(xxx.xxx.xxx.xxx)のポート(21)に接続中です。(2003/05/04 21:46:10)
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
-->USER anonymous
331 Please specify the password.
-->PASS oyaji@mail.aconus.com
230 Login successful. Have fun.
-->PWD
257 "/"
-->TYPE A
200 ASCII tastes bad, dude.
-->PASV
227 Entering Passive Mode (xxx,xxx,xxx,xxx,70,215)
-->LIST
Error999: タイムアウトしました。(30 sec)
☆☆☆ テストは異常終了しました。☆☆☆ (2003/05/04 22:15:26)
となってしまいます。
上記のルールではダメなのですかね。
> ふと思ったのですが、変則的な環境ですけど ADSLモデム−ISDNダイアルアップ・
> ルータの構成って、問題無いのでしょうかね?
えーと、ブロードバンドでして、マニュアルを見て
接続方式…PPPoE
にしてユーザID、パスワードを入力して
接続出来ています。
> MN128-SOHO-PALってISDNダイアルアップ・ルータなんですね。
勿論、ISDN接続も出来るみたいです。ISDN用ポートも付いてますし。
> 変則というよりど
> うやって繋がっているのかわからないですね。ルータの名前が違うのでしょうか?
> pppoe接続設定というのも変ですね。これはPCのこと?
いえ、ルータです。PC(Windows2000pro)にはPPPoEも何もインストールしていません。
詳しくと仰られましても、後、何を申せばいいでしょうか?
おはようさんです。
> > ふと思ったのですが、変則的な環境ですけど ADSLモデム−ISDNダイアルアップ・
> > ルータの構成って、問題無いのでしょうかね?
> えーと、ブロードバンドでして、マニュアルを見て
> 接続方式…PPPoE
> にしてユーザID、パスワードを入力して
> 接続出来ています。
>
> > MN128-SOHO-PALってISDNダイアルアップ・ルータなんですね。
> 勿論、ISDN接続も出来るみたいです。ISDN用ポートも付いてますし。
>
> > 変則というよりど
> > うやって繋がっているのかわからないですね。ルータの名前が違うのでしょうか?
> > pppoe接続設定というのも変ですね。これはPCのこと?
> いえ、ルータです。PC(Windows2000pro)にはPPPoEも何もインストールしていません。
> 詳しくと仰られましても、後、何を申せばいいでしょうか?
NTT-MEのHP資料によると、ブロードバンド対応はMN128-SOHO-PAL B&Iなんですが、
MN128-SOHO-PALはISDNルータです。もしかして、B&Iですか?
B&Iなら、PPPoE接続設定があるのは当然ですので出先の構成に問題はないようです。
あと、ftpテスト結果の件はおやじ殿にお任せします。
こんにちは。
やっと答えが見つかりましたね。多分これだろうとは想像していたのですが、これだけの、情報が最初からあればすぐに結論は出たのですが。
結論は、vsftpdを止めるか、1024番以上を全てACCEPTするしかないですね。
TEST No. 4475は、Activeモードで何ら問題ないですね。
TEST No. 4476は、Passiveモードですが、失敗しています。サーバ側が使用しようとしたデータコネクションのポートは、
> -->PASV
> 227 Entering Passive Mode (xxx,xxx,xxx,xxx,236,2)
から、232*256+2=59394ですね。ところが、次にサーバ(RH8.0)側のiptablesの全ポリシ・ルールをACCEPTにしたテストのとき(TEST No. 4477)では、
> -->PASV
> 227 Entering Passive Mode (xxx,xxx,xxx,xxx,82,58)
で、256*82+58=21050になっています。これからわかるのは、セッションが変わるとどのポートを使うかわからないということです。ほかのテスト結果を見てもわかると思います。従って、vsftpdを使う限り、1024番以上のポートへのアクセスを受け付けないと、Passiveができる時とできない時ができてしまうということです。
> という風に上手くいきました。クライアント側(大学と外出先)で使用するポートが違うのですかね。
違います。使うポートは、PASVコマンドの応答メッセージでサーバが指示しています。ログを見てもわかりますよね。
> これまでの事から推測するとサーバ側のポート40000:60000を開けずとも常に上手くいってた大学のUNIX
> はACTIVモードのように思えます。実際、
> FTP> ?
> としてもpassiveコマンドは表示されません。
上記から、偶然うまく行っただけではありませんか?セキュリティ上、構内のLAN回線からActiveでアクセスできるとは思えません。UNIXはよくわかりませんが、LinuxはデフォルトでPASVです。
FTP> passiveとすれば、モードが変わると思いますので確認してはどうですか?
お手数お掛けしています。
> NTT-MEのHP資料によると、ブロードバンド対応はMN128-SOHO-PAL B&Iなんですが、
> MN128-SOHO-PALはISDNルータです。もしかして、B&Iですか?
さようです。B&Iです。
申し遅れまして大変失礼致しました。m(_ _)m
> やっと答えが見つかりましたね。多分これだろうとは想像していたのですが、これ
> だけの、情報が最初からあればすぐに結論は出たのですが。
> 結論は、vsftpdを止めるか、1024番以上を全てACCEPTするしかないですね。
1024:60000をACCEPTして上手くいきました。
これって、そんなに広くACCEPTにして危険ではのないのですかね。
セキュリティ対策は何かあるのでしょうか?
送信元IPアドレス(外出先)は動的IPアドレス(DDNSでgaishutsu.dynsite.netに割当ててます)なんですよね。
(固定IPアドレスならiptablesでアクセス制限できるでしょうけど)
>> -->PASV
>> 227 Entering Passive Mode (xxx,xxx,xxx,xxx,82,58)
>で、256*82+58=21050になっています。これからわかるのは、セッションが変わ
このようにしてポート番号を算出するのですね。
> 上記から、偶然うまく行っただけではありませんか?セキュリティ上、構内のLAN
> 回線からActiveでアクセスできるとは思えません。UNIXはよくわかりませんが、
> LinuxはデフォルトでPASVです。
> FTP> passiveとすれば、モードが変わると思いますので確認してはどうですか?
試してみましたら
ftp> passive
?Invalid command
となってしまいますね。
こんにちは。
> 1024:60000をACCEPTして上手くいきました。
> これって、そんなに広くACCEPTにして危険ではのないのですかね。
> セキュリティ対策は何かあるのでしょうか?
なので、vsftpdを止めることが対策です。NAT対応デーモンにしない限り、ポート全開にするしかありません。
それに、もしやるなら60000以上も可能性があるので、1024: と後ろを指定しないことです。
> 送信元IPアドレス(外出先)は動的IPアドレス(DDNSでgaishutsu.dynsite.netに割当ててます)なんですよね。
> (固定IPアドレスならiptablesでアクセス制限できるでしょうけど)
> > 上記から、偶然うまく行っただけではありませんか?セキュリティ上、構内のLAN
> > 回線からActiveでアクセスできるとは思えません。UNIXはよくわかりませんが、
> > LinuxはデフォルトでPASVです。
> > FTP> passiveとすれば、モードが変わると思いますので確認してはどうですか?
> 試してみましたら
>
> ftp> passive
> ?Invalid command
これはUNIXですか?2000の話ですよね。2000ではいきなりpassiveは使えません。
ftp > quote pasvで強制的にPASVモードに入ってください。
こんにちは。
> > 1024:60000をACCEPTして上手くいきました。
> > これって、そんなに広くACCEPTにして危険ではのないのですかね。
> > セキュリティ対策は何かあるのでしょうか?
>
> なので、vsftpdを止めることが対策です。NAT対応デーモンにしない限り、ポート全開にするしかありません。
情報を一般化して書きましたので、今回に限れば、PASVで使用するポート範囲を制御できるデーモンというのが答えです。chikakoさんは、サーバ機でPPPoEを終端しているので・・・
こんばんわ。
> > 1024:60000をACCEPTして上手くいきました。
> > これって、そんなに広くACCEPTにして危険ではのないのですかね。
> > セキュリティ対策は何かあるのでしょうか?
>
> なので、vsftpdを止めることが対策です。NAT対応デーモンにしない限り、ポート全開にするしかありません。
> それに、もしやるなら60000以上も可能性があるので、1024: と後ろを指定しないことです。
>
やはり、セキュア的には vsftpdは使わないほうが良いって事でしょうかね。
どうしてRedHatって wu-ftpdといい、vsftpdといい、少し問題がある ftpdを採用するのかしら?謎だ。
これで更に、RedHatを使いたくない口実が1つ増えたな。。。(^-^;
もっとも私は ftpdを使う事は、まず無いからあまり関係も無いなぁ。
返事がすっかり遅くなりまして申し訳有りません。
> なので、vsftpdを止めることが対策です。NAT対応デーモンにしない限り、ポート全
> 開にするしかありません。
> それに、もしやるなら60000以上も可能性があるので、1024: と後ろを指定しないこ
> とです。
これは、
ADSLモデム
|
ファイアフォール
|
RedHat8.0(FTPサーバ)
という具合に間に何らかのファイアフォールを構築するという事ですかね。
>> ftp> passive
>> ?Invalid command
> これはUNIXですか?2000の話ですよね。2000ではいきなりpassiveは使えません。
いえ、UNIXです。
passive onが出力されないとは不思議ですね。UNIXでもpassiveモードか確認出来るんですよね。
もしかして、activeモード自体存在せず、最初からpassiveモードなのでこのようになっているのですかね。
>> なので、vsftpdを止めることが対策です。NAT対応デーモンにしない限り、ポート
> 全開にするしかありません。
> 情報を一般化して書きましたので、今回に限れば、PASVで使用するポート範囲を制
> 御できるデーモンというのが答えです。chikakoさんは、サーバ機でPPPoEを終端して
> いるので・・・
PASVポートを管理できるFTPデーモンがあるとは初耳でした。
こんな便利なFTPデーモンとしてどういうデーモンがあるのですか?
ご紹介頂ければ幸いです。
> やはり、セキュア的には vsftpdは使わないほうが良いって事でしょうかね。
> どうしてRedHatって wu-ftpdといい、vsftpdといい、少し問題がある ftpdを
> 採用するのかしら?謎だ。
> これで更に、RedHatを使いたくない口実が1つ増えたな。。。(^-^;
> もっとも私は ftpdを使う事は、まず無いからあまり関係も無いなぁ。
皆さんはどのようなFTPデーモンを使用していらっしゃるのですか?
こんばんは。
> 返事がすっかり遅くなりまして申し訳有りません。
時間が経ちすぎて何の話だったか忘れてしまいましたので、全部読み直しました。
> > なので、vsftpdを止めることが対策です。NAT対応デーモンにしない限り、ポート全
> > 開にするしかありません。
> > それに、もしやるなら60000以上も可能性があるので、1024: と後ろを指定しないこ
> > とです。
> これは、
>
> ADSLモデム
> |
> ファイアフォール
> |
> RedHat8.0(FTPサーバ)
>
> という具合に間に何らかのファイアフォールを構築するという事ですかね。
おやじのFTP関係のコンテンツを読んでも分かりませんか?
違います。 ポイントは以下のとおりです。
1. chikakoさんは、大学から自宅サーバにFTPでアクセスしたい。しかし、大学の
ネットワークにはファイヤウォールが入っているので、PASVでしかアクセスできない。
2. vsftpd(wu-ftpdも同じ)は、PASVモードで使用するデータコネクションのポート番号
を設定で制御できず、1024番から65535番まででその時空いているポート番号を使用
してデータコネクションの接続を待ち受ける。具体的には、PASVコマンドの応答で、
Entering Passive Mode (xxx,xxx,xxx,xxx,82,58)のように、自宅サーバのアドレス
(chikakoさんはPPPoEをサーバで終端しているので、アドレスはグローバルになって
いるので問題ないが、一般的なNATルータ経由でサーバを繋いでいるとここがプライ
ベートになってしまい、繋がらない原因になる。)とポート番号(256*82+58=21050)
を通知する。
従って、vsftpdでPASVを動かそうとすると、vsftpdは1024から65535番までのどこを
使うか分からないので、この範囲を全てiptablesで受け入れるしかないということです。
よって、ファイヤウォールを入れても所詮全部開けるしかありません。
> >> ftp> passive
> >> ?Invalid command
> > これはUNIXですか?2000の話ですよね。2000ではいきなりpassiveは使えません。
> いえ、UNIXです。
> passive onが出力されないとは不思議ですね。UNIXでもpassiveモードか確認出来るんですよね。
> もしかして、activeモード自体存在せず、最初からpassiveモードなのでこのようになっているのですかね。
linuxしか知らないので、チョット調べてみましたが、solaris8 まではPASVをサポート
していないというような情報がありました。であれば、ftp> ?でも出てこないですよね。
もしかすると大学からのアクセスはActiveだった? であれば、セキュリティ的には ?
ですが外部からのアクセスを受け入れてる可能性があり、上記の1項は当てはまらない
ことになります。
因みに、大学で-dオプションでやってみればどちらで動いているかはlsコマンドの時に
分かりますよね。ftp> statusでも分かるかもしれません。もし、Activeモードで動いて
いて、他の環境で自宅のFTPサーバを使うことがないなら、PASVのために開けたポートは
閉めてActiveモードで使えばいいと思います。
不特定多数向けの公開サーバだと、企業や学校からは一般的にPASVでしかアクセスでき
ませんし、IE等のブラウザもPASVしか使えませんので、こういうアクセスがないなら
Activeだけでいいと思います。
> PASVポートを管理できるFTPデーモンがあるとは初耳でした。
> こんな便利なFTPデーモンとしてどういうデーモンがあるのですか?
> ご紹介頂ければ幸いです。
おやじのFTPコンテンツを見てください。ProFTPdです。MasqueradeAddressはchikako
さんの場合、設定不要です。
暫くトラブってました。遅くなりましてスイマセン。
> 従って、vsftpdでPASVを動かそうとすると、vsftpdは1024から65535番までのどこ
> を
> 使うか分からないので、この範囲を全てiptablesで受け入れるしかないということで
> す。
> よって、ファイヤウォールを入れても所詮全部開けるしかありません。
#grep -v ^# /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=NO
ftpd_banner=Welcome to FTP service.
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
pasv_min_port=55000/pasv_max_port=60000
という風にすれば制限できるかと思いましたが全く効いちゃいませんでした。
> linuxしか知らないので、チョット調べてみましたが、solaris8 まではPASVをサ
> ポート
> していないというような情報がありました。であれば、ftp> ?でも出てこないですよ
> ね。
大学のUNIXはsolaris2.6でした。
> 因みに、大学で-dオプションでやってみればどちらで動いているかはlsコマンドの
> 時に
> 分かりますよね。ftp> statusでも分かるかもしれません。もし、Activeモードで動
> いて
114 foo:/home/m/user01%ftp -d gaibu.host.co.jp
Connected to gaibu.host.co.jp.
220 Welcome to FTP service.
Name (gaibu.host.co.jp:user01): user00
---> USER user00
331 Please specify the password.
Password:
---> PASS xxxxxxxx
230 Login successful. Have fun.
ftp> ls
---> PORT 133,xxx,xxx,xxx,133,86
200 PORT command successful. Consider using PASV.
---> NLST
150 Here comes the directory listing.
Desktop
Maildir
226 Directory send OK.
18 bytes received in 0.025 seconds (0.70 Kbytes/s)
ftp> status
Connected to gaibu.host.co.jp.
No proxy connection.
Mode: stream; Type: ascii; Form: non-print; Structure: file
Verbose: on; Bell: off; Prompting: on; Globbing: on
Store unique: off; Receive unique: off
Case: off; CR stripping: on
Ntrans: off
Nmap: off
Hash mark printing: off; Use of PORT cmds: on
となりました。どうやら、Activeモードのようですね。
> ませんし、IE等のブラウザもPASVしか使えませんので、こういうアクセスがないなら
> Activeだけでいいと思います。
わかりました。
>> ご紹介頂ければ幸いです。
> おやじのFTPコンテンツを見てください。ProFTPdです。MasqueradeAddressは
今度試してみたいと思います。
|
ppp0
RH9でiptables
eth0
|
eth0(192.168.0.89)
RH8でProftpd
としてRH8をFTPサーバにすればだいぶ安全になるのですね。
/etc/proftpd.confで
MasqueradeAddress "ppp0のDDNSドメイン"
Passive 55000 60000
という具合でいいのですね。
RH9のiptablesでは21番ポートを
/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 1027 -j DNAT --to 192.168.0.89:21
にしておくだけで、Passive用ポートはRH8の55000:60000が使われるわけなのですね。
こんばんは。
> #grep -v ^# /etc/vsftpd/vsftpd.conf
> anonymous_enable=NO
> local_enable=YES
> write_enable=YES
> local_umask=022
> dirmessage_enable=YES
> xferlog_enable=YES
> connect_from_port_20=YES
> xferlog_file=/var/log/vsftpd.log
> xferlog_std_format=NO
> ftpd_banner=Welcome to FTP service.
> pam_service_name=vsftpd
> userlist_enable=YES
> tcp_wrappers=YES
> pasv_min_port=55000/pasv_max_port=60000
このconfigを見て、vsftpdを少し調べてみましたが、サーバ機でPPPoEを終端しているなら、PASVでいけると思います。
まず、あまり関係ないような気もしますが、一番最後の、pasv_min_port=55000/pasv_max_port=60000を
pasv_min_port=55000
pasv_max_port=60000
と2行で書いてみて、かつ、フィルタで55000〜60000までを開けてあげればいくはずです。フィルタを開けましたか?また、こんなに広範にあける必要はないと思いますよ。おやじは、ソフトのダウンロード提供していますが30ポートしか開けてません。使いまわしされるので、個人サイトならこれで十分です。
もう一つ気になるのが、pasv_addressというパラメータです。指定していなければ、「the address is taken from the incoming connected socket」と言うことなのですが、PPPoEだとうまくいかない可能性もなきにしもあらずなので、試験的ですが、もし上の試験でだめ(何がどう駄目なのかによりますが)なら、現在のIPを書いてみるとうまくいくかもしれません。いずれにしても、おやじのテストでPASVコマンドでどのアドレスとポートを通知しているかを見れば一発で判ります。
> となりました。どうやら、Activeモードのようですね。
そうですね。セキュリティ対策としては、ステートフルインスペクション対応のファイヤウォールを使っているのでしょう。まさか、WAN側からのアクセスを開けっ放しなんてことは考えられませんから。
> |
> ppp0
> RH9でiptables
> eth0
> |
> eth0(192.168.0.89)
> RH8でProftpd
>
> としてRH8をFTPサーバにすればだいぶ安全になるのですね。
これは、なんともですが、NATを介している分だけ安全というぐらいでしょうか。
RH9をルータ専用にして関係ないデーモン等をすべて排除すれば、かなりセキュリティは上がると思いますよ。
ルータのセキュリティを気にするなら、市販ルータのほうが安全かと思います。
> /etc/proftpd.confで
> MasqueradeAddress "ppp0のDDNSドメイン"
> Passive 55000 60000
>
> という具合でいいのですね。
> RH9のiptablesでは21番ポートを
> /sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 1027 -j DNAT --to 192.168.0.89:21
>
> にしておくだけで、Passive用ポートはRH8の55000:60000が使われるわけなのですね。
??? 1027番って何ですか。
/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 21 -j DNAT --to 192.168.0.89:21
WAN側から接続が開始されるので、Passive用ポートはRH8の55000:60000はフィルタを開けてください。
お久しぶりです。遅くなりましたがその後の結果報告です。
> このconfigを見て、vsftpdを少し調べてみましたが、サーバ機でPPPoEを終端し
> ているなら、PASVでいけると思います。
> まず、あまり関係ないような気もしますが、一番最後の、
> pasv_min_port=55000/pasv_max_port=60000を
> pasv_min_port=55000
> pasv_max_port=60000
> と2行で書いてみて、かつ、フィルタで55000〜60000までを開けてあげればいくは
> ずです。
わお!これで上手くいきました。\(^o^)/
どうも有り難うございます。
>フィルタを開けましたか?また、こんなに広範にあける必要はないと思いま
> すよ。おやじは、ソフトのダウンロード提供していますが30ポートしか開けてませ
仰る通り、私も狭めました。
所で、この30ポートに対して何んなセキュリティ方法がありますでしょうか?
(PASVポートから侵入なんて普通、出来ないですよね)
> そうですね。セキュリティ対策としては、ステートフルインスペクション対応の
> ファイヤウォールを使っているのでしょう。まさか、WAN側からのアクセスを開けっ
> 放しなんてことは考えられませんから。
そうでしたか。
> RH9をルータ専用にして関係ないデーモン等をすべて排除すれば、かなりセキュ
> リティは上がると思いますよ。
> ルータのセキュリティを気にするなら、市販ルータのほうが安全かと思います。
色々な設定ができるルータとなればCiscoとかいうものですかね。やっぱ。結構高そうですね。
>> RH9のiptablesでは21番ポートを
>> /sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 1027 -j
>> DNAT --to 192.168.0.89:21
>>
>> にしておくだけで、Passive用ポートはRH8の55000:60000が使われるわけなので
> すね。
> ??? 1027番って何ですか。
大変失礼致しました。書きミスでした。 m(_ _)m
こんばんは。
> > まず、あまり関係ないような気もしますが、一番最後の、
> > pasv_min_port=55000/pasv_max_port=60000を
> > pasv_min_port=55000
> > pasv_max_port=60000
> > と2行で書いてみて、かつ、フィルタで55000〜60000までを開けてあげればいくは
> > ずです。
> わお!これで上手くいきました。\(^o^)/
> どうも有り難うございます。
どこかでこういう書き方をご覧になったのでしょうか?confにはこのような書き方は出ていなかったので、基本に忠実にと思っただけでしたが、かなり長丁場でしたが解決してよかったですね。
> >フィルタを開けましたか?また、こんなに広範にあける必要はないと思いま
> > すよ。おやじは、ソフトのダウンロード提供していますが30ポートしか開けてませ
> 仰る通り、私も狭めました。
> 所で、この30ポートに対して何んなセキュリティ方法がありますでしょうか?
> (PASVポートから侵入なんて普通、出来ないですよね)
PASVコマンドを受けたとき、初めてこのポートでデーモンがデータコネクションが張られてくるのを待ち受けるので、通常は行き場がありませんので大丈夫です。
偶然、開いた瞬間に割り込まれるとデータコネクションの処理が反応してしまうかもしれませんが、アドレスが違うので通信しないか?したとしても、制御コマンドのやり取りできないので何もできないでしょう。
> > RH9をルータ専用にして関係ないデーモン等をすべて排除すれば、かなりセキュ
> > リティは上がると思いますよ。
> > ルータのセキュリティを気にするなら、市販ルータのほうが安全かと思います。
> 色々な設定ができるルータとなればCiscoとかいうものですかね。やっぱ。結構高そうですね。
Ciscoは業務用ですから価格も違いますし、この領域は、ルータではなくファイヤウォール専用の製品があります。
家庭用ルータが両方の機能が入っていて、特殊と思ったほうがいいでしょう。
なお、もうお分かりと思いますが、chikakoさんはPPPoEをサーバで終端しているからvsftpdが使用できるのであって、動的IP環境でルータを導入したときはデーモンの乗り換えも必要になります。OPT90がFTPサーバのPASVモードに対応しているようなので、これなら何でもOKですが。
> どこかでこういう書き方をご覧になったのでしょうか?
「Red Hat Linux8でインターネットサーバを構築する本」
という本だったかと思いますがこれにのってたと記憶してます。
(図書館で借りて来た本でした)
> は出ていなかったので、基本に忠実にと思っただけでしたが、かなり長丁場でしたが
> 解決してよかったですね。
大変ありがとうございます。
> PASVコマンドを受けたとき、初めてこのポートでデーモンがデータコネクションが
> 張られてくるのを待ち受けるので、通常は行き場がありませんので大丈夫です。
> 偶然、開いた瞬間に割り込まれるとデータコネクションの処理が反応してしまうかも
> しれませんが、アドレスが違うので通信しないか?したとしても、制御コマンドのや
> り取りできないので何もできないでしょう。
安心致しました。
どうも色々とありがとうございました。m(_ _)m