いつも貴HPを参考にさせてもらっています。
表記の件につきまして、FTPクライアントの外部IPアドレス
(動的IPアドレス)をDDNSに登録し、
IPフィルタに当該DDNSのドメイン名(ホスト名)を許可
IPに指定して、接続可能なFTPクライアントを制限しよう
としているのですが、
「550 No connections allowedfrom your IP」と
なってしまいます。
・使用DDNS:http://www.ieserver.net/
・使用ドメイン:dip.jp
・DDNS更新アプリ:DiCEフリーバージョン
・FileZillaServerバージョン:0.9.23
・OS:WindowsServer2003R2
許可IPには「192.168.1.* /xxx.dip.jp/」と指定して
いるのですが、他に設定すべき項目/環境等があるので
しょうか?
そもそも上記制限が可能なのか、設定等のアドバイスを
もらえるとありがたいです。
> 表記の件につきまして、FTPクライアントの外部IPアドレス
> (動的IPアドレス)をDDNSに登録し、
> IPフィルタに当該DDNSのドメイン名(ホスト名)を許可
> IPに指定して、接続可能なFTPクライアントを制限しよう
> としているのですが、
> 「550 No connections allowedfrom your IP」と
> なってしまいます。
>
> ・使用DDNS:http://www.ieserver.net/
> ・使用ドメイン:dip.jp
> ・DDNS更新アプリ:DiCEフリーバージョン
> ・FileZillaServerバージョン:0.9.23
> ・OS:WindowsServer2003R2
>
> 許可IPには「192.168.1.* /xxx.dip.jp/」と指定して
> いるのですが、他に設定すべき項目/環境等があるので
> しょうか?
設定は、上記しかありません。不許可に0.0.0.0/0.0.0.0を入れて上記設定をすれば許可設定したIP以外からは接続できません。
おやじなら、この状況でまず一番最初に疑うのが、サーバ機で xxx.dip.jp でDNSを牽いたとき(nslookup)したときに、本当にクライアントのグローバルアドレスが牽けるかどうかです。
というより、それが不一致になっている以外に理由はないと思いますが・・・。
> 設定は、上記しかありません。不許可に0.0.0.0/0.0.0.0を入れて上記設定をすれば許可設定したIP以外からは接続できません。
> おやじなら、この状況でまず一番最初に疑うのが、サーバ機で xxx.dip.jp でDNSを牽いたとき(nslookup)したときに、本当にクライアントのグローバルアドレスが牽けるかどうかです。
> というより、それが不一致になっている以外に理由はないと思いますが・・・。
ご回答ありがとうございます。 大変助かります。
nslookupで確認しましたが、期待したIPアドレスが牽けました。
FileZillaSeverは0.9.23をアンインストールせずに0.9.24インスト
ールして、再度クライアントPCのDOSプロンプトftpコマンドで、
「ftp xxx.dip.jp」とやってみたのですが「550」メッセージが
出ました。
・どなたか、DDNSを使って使用制限を行っている方でDDNS名や
設定(特に許可側)を差し支えない範囲で教えてもらえると
ありがたいです。
> > 設定は、上記しかありません。不許可に0.0.0.0/0.0.0.0を入れて上記設定をすれば許可設定したIP以外からは接続できません。
> > おやじなら、この状況でまず一番最初に疑うのが、サーバ機で xxx.dip.jp でDNSを牽いたとき(nslookup)したときに、本当にクライアントのグローバルアドレスが牽けるかどうかです。
> > というより、それが不一致になっている以外に理由はないと思いますが・・・。
>
> ご回答ありがとうございます。 大変助かります。
>
> nslookupで確認しましたが、期待したIPアドレスが牽けました。
> FileZillaSeverは0.9.23をアンインストールせずに0.9.24インスト
> ールして、再度クライアントPCのDOSプロンプトftpコマンドで、
> 「ftp xxx.dip.jp」とやってみたのですが「550」メッセージが
> 出ました。
何をされているのでしょうか? 皆目検討がつきません。
「xxx.dip.jp」はクライアントのホスト名と思っていましたが、ここではクライアントから「「ftp xxx.dip.jp」とやってみた」???
とは、どういうことでしょうか?
おやじは、クライアントとサーバ機はインターネットを介して接続してあり、ホスト名が「xxx.dip.jp」のクライアントから、サーバ機のFileZillaにアクセス(アクセス方法がホスト名だろうがグローバルアドレスだろうが今回の問題(クライアントからのアクセスをホスト名で規制)には何も関係ないので気にする必要はない)したときに、「xxx.dip.jp」で規制したい、というのが要件と思っていましたが違うのですか?
まさか、インターネットを介さずに同一LAN内にクライアントとサーバがいる環境で、「「ftp xxx.dip.jp」とやってみた」のではないですよね。
> ・どなたか、DDNSを使って使用制限を行っている方でDDNS名や
> 設定(特に許可側)を差し支えない範囲で教えてもらえると
> ありがたいです。
DDNSかどうか、外部からのアクセスかどうかは関係なく、肝は、「サーバ機でDNSを正引きしたときのIPアドレスを持つ端末からのみアクセス許可する」ということだけであり、それならば、上記のとおりの設定でできます。
家庭内ですが、おやじのサーバ-クライアント環境で確認済みです。
> 何をされているのでしょうか? 皆目検討がつきません。
> 「xxx.dip.jp」はクライアントのホスト名と思っていましたが、ここではクライアントから「「ftp xxx.dip.jp」とやってみた」???
> とは、どういうことでしょうか?
すみません。 「ftp xxx.dip.jp」は間違いで、xxx.dip.jpから
「ftp yyy.dip.jp」を行いました。(ftpコマンドでサーバに
接続したことを言いたかったのです。)
・xxx.dip.jpとyyy.dip.jpは別プロバイダにつながっている
クライアントとサーバです。
ルータ(ゲートウェイ)のログを見ると、サーバ機からnslookupを
行った場合、DNSを検索するログが出るのですが、xxx.dip.jpから
FileZillaServerに接続するとFileZillaServerからDNS検索をおこ
なった形跡(ルータのログ)が無いのです。
−>なんらかの原因で検索していない、もしくはログにとられて
いない通信(検索)をしている。
解決策を模索しますので、一旦当スレッドを閉じさせていただき
ます。
−>解決策がみつかった場合、当スレッドに書き込む予定です。
ftpサーバもFileZillaだけでなく、他のものも試してみようと思
います。
お時間をさいていただきありがとうございました。
> > 何をされているのでしょうか? 皆目検討がつきません。
> > 「xxx.dip.jp」はクライアントのホスト名と思っていましたが、ここではクライアントから「「ftp xxx.dip.jp」とやってみた」???
> > とは、どういうことでしょうか?
>
> すみません。 「ftp xxx.dip.jp」は間違いで、xxx.dip.jpから
> 「ftp yyy.dip.jp」を行いました。(ftpコマンドでサーバに
> 接続したことを言いたかったのです。)
> ・xxx.dip.jpとyyy.dip.jpは別プロバイダにつながっている
> クライアントとサーバです。
自分のサーバではないので、提示された数少ない情報をたよりに、書き込まれた方の環境を頭の中でシュミレーションしているので、こういうポイントになる情報が誤っていると頭の中で描いていた状況がガタガタになってしまうので、正確に記載してください。
> ルータ(ゲートウェイ)のログを見ると、サーバ機からnslookupを
> 行った場合、DNSを検索するログが出るのですが、xxx.dip.jpから
> FileZillaServerに接続するとFileZillaServerからDNS検索をおこ
> なった形跡(ルータのログ)が無いのです。
> −>なんらかの原因で検索していない、もしくはログにとられて
> いない通信(検索)をしている。
ふと、これが気になってパケットキャプチャしてみた結果、原因がわかりました。
結論からいうと、DDNS環境でホスト名で相手を特定して規制することはできません。
それは、Filezillzはクライアントからアクセスがあると、アクセスしてきたIPアドレスを逆引きし、得られたホスト名を登録してあるホスト名と正規表現でマッチングをとる方式だからです。
動的IP(単一IP)の場合、当然、逆引きすれば契約しているプロバイダのアドレスが返ってくるので、マッチングしないことになります。おやじの家庭内は、正引き、逆引きができるので気がつきませんでした。(やはりパケットキャプチャは、こういうトラブル追求時の基本ですね。)
考えてみれば当たりまえで、少なくともワイルドカードが使える正規表現でマッチングをとる方式なら、登録された内容で正引きできるわけがないので、当然こういう作りになりますね。従って、WarFTPDもそうなります。
恐らく期待することができる方法を見つけるのは、きつそうですね。
> 恐らく期待することができる方法を見つけるのは、きつそうですね。
パケットキャプチャまでしていただきありがとうございます。
また、お返事をいただいていたのに返信が遅くなり、申し訳
ありません。
現在、LINUX系のftpサーバでもできないか調査中です。
・DNS逆引きやRFC1413等、クライアントからユーザID/パス
ワードを入力する前に制限できるものをてあたりしだい
調査しているところです。
(proftpdがいいのかなと思っているところです。)
結果が出次第、また書き込みます。
> 結果が出次第、また書き込みます。
反則技かもしれませんが、SoftEther社のVPN(PacketiX-VPN)
経由で行うことにしました。
・クライアント証明書による認証や通信経路の暗号化がFTPの
サーバ/クライアントの各プログラムに特別なものがいらな
いため。
・会社でVPNを構築したため。
これで少しFTP環境の構築が進みそうです。
これでやっと、当スレッドがCLOSEできます。
アドバイス等ご協力ありがとうございました。