- ベストアンサー
自宅FTPサーバでのポート
すいません、自宅でFTPサーバを立てたんですが、家のサーバはルータ内にありポートを空けなければいけないのですが、21番の他に20番も空けないと空けないと駄目なんでしょうか?それとも、パッシブモード、アクティブモードのどちらを使うかで変わってくるのでしょうか? 利用目的としては、外出先からのデータの出し入れです。 外出先では、FTPクライアントソフトが入っていない場合も多いので、IE(ブラウザ)からアクセスする事も多いと思います。OSはwin2000、サーバソフトはnekosogiです。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
FTP は data channel と command channel の二つが必要なのです。例えば "ls" というコマンドがありますが、これを受け付けるのは FTP サーバの 21/tcp で、結果(ファイルの一覧など)を返すのは アクティブモードなら 20/tcp、パッシブチャネルなら別のポート番号の tcp です。21/tcp ともう一つのポートが開いていないと、"ls" コマンドを送っても結果が返ってこないままタイムアウトしてしまうはずです。 ただ、最近のルータは FTP プロキシ と呼ばれる機能が入っていることもありますので、その場合は 21/tcp 以外を明示的に空けなくても大丈夫なことがあります。マニュアルを熟読し、必要であればメーカーのサポートに詳細を尋ねてみると良いでしょう。 > 20番は開けなくて良い、むしろ開けない方がセキュリティー上良い なぜでしょうね? 私は PC-Unix を使ったファイアウォールを何台も構築していて、その下に FTP サーバももちろん配置しています。20/tcp を開けようが開けまいが、(FTP サーバを公開している限り)そんなことでセキュリティのレベルが変わるとは思えないのですが... なお、ファイルのダウンロードしかしないのであれば FTP サーバより Web サーバの方が良いと思います。Web サーバであれば 80/tcp だけで済みますし、場合によっては 443/tcp、つまり HTTPS を使うことでより安全にデータを取得することも可能です。いかがですか?
その他の回答 (4)
- kenipi
- ベストアンサー率29% (44/150)
ルータでポートを開ける,といっても,出側と入側がありますよね。 普通の場合(PASVじゃないとき) クライアント側 サーバー側 1.ポート5001番 →コマンド用の接続 →ポート21番 2.ポート5002番 ←データ用の接続 ←ポート20番 こんな関係になっているので, 1) ポート21は inbound (入側,WAN -> LAN方向)を開ける 2) ポート20は outbound (出側, LAN -> WAN方向)を開ける でいいとおもいます。get/put は関係ないです。
お礼
みなさん、ありがとうございました。 大変勉強になりました。
- hetarepyon
- ベストアンサー率52% (94/180)
FTP プロキシは複雑な FTP のコネクションをうまく処理してくれる機能、だと思ってください。特にフィルタリングルールに関して、必要になった時点で自動的に適切なポートをオープンし、不要になった時点でポートをクローズする、などができるものもあります。 ただし全てのルータがこの機能を持っているわけではありませんので > マニュアルを熟読し、必要であればメーカーのサポートに詳細を尋ねてみると良いでしょう。 と書いたわけです。 まぁ、何はともあれ具体的な話になったらメーカーに聞くのが一番ですよ。ユーザであればサポートしてくれるはずですから :-)。
お礼
ありがとうございました。家のルータはメルコのWHRG54という物なんですが、FTPプロシキには対応していないみたいでした。
- hetarepyon
- ベストアンサー率52% (94/180)
あれ、書いたはずなのに消えてる... ---- >●サーバ側 >アクティブモード・・・空けるポートは21番(アップロードをする場合は20番も開ける) >パッシブモード・・・空けるポートは21番+クライアントがアクセスできる範囲のポート 20/tcp はアップロードの有無には無関係です。アクティブモードの場合は必ず空けないとファイルの一覧すら取得できません。 >●セキュリティー >FTPサーバ側では、パッシブモードを禁止し、アクティブモードで運用した方が安全 まぁ、確かにそうなんですが、クライアント側に F/W があるとアクティブモードだけだと多分無理ですよ。 ということで頑張ってください :-)。
お礼
ありがとうございます。 そうなんですか、20番はダウンロードのみでも開けないといけないんですか? 様々なサイトを見ていると、アップロードをしない場合は、20番は開けなくて良い、むしろ開けない方がセキュリティー上良いという情報がいくつか有ったので、困惑してしまいました。中にはDL、UL関係なく21番だけ開ければよいというのもありどれが正しいのかわからなくってしまいました。
- hetarepyon
- ベストアンサー率52% (94/180)
FTP の場合、おっしゃっているようにアクティブモード/パッシブモードで使用するポート番号が変わります。 1. アクティブモードの場合 サーバ側から外部への 20/tcp を許可 2. パッシブモードの場合 FTP サーバソフトによりますが、パッシブモードに使えるポートの範囲を指定できるのであれば、それに応じたポートへの外部からサーバへのアクセスを許可します。制限ができない場合は危ないのでアクティブモードだけ許可した方が良いでしょう。
補足
レスありがとうございます。 FTPサーバについて確認して良いですか? -------------------------------------------------------------------- 使用目的は外部からのデータの出し入れ(DL.UL)で アクティブモードとパッシブモードを簡単にまとめると、 ●サーバ側 アクティブモード・・・空けるポートは21番(アップロードをする場合は20番も開ける) パッシブモード・・・空けるポートは21番+クライアントがアクセスできる範囲のポート ●クライアント側 アクティブモード・・・FTPクライアントソフトでアクセス可(IEなどのブラウザではアクセス不可) パッシブモード・・・FTPクライアントソフト+IE(ブラウザ)でアクセス可 ※IE(ブラウザ)は、パッシブモードでないとFTPサーバにアクセスできない。 ●セキュリティー FTPサーバ側では、パッシブモードを禁止し、アクティブモードで運用した方が安全 大体の認識はこれで良いんでしょうか? 間違いがあったら、訂正をお願いします
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
補足
なるほど、FTP プロキシが使えれば、アクティブモードでも20番は開ける必要は無いんですね? でも、FTP プロキシというのは初めて聞きました。 具体的にはどういう機能なんでしょうか? 一応アップロードも想定してるので、FTPサーバを立てたいと思っています。