- ベストアンサー
FTP接続時のポートの設定について。
FTPについての質問です。 現在、FWの設定で、21番ポートを空けるなどの設定をしていますが、パケット見ると、50000台のポートなどを使って通信しているようで、 ${fwcmd} add allow tcp from any to 192.168.100.1 49152-60000 というように、範囲を指定してあけるようにしています。 FTP接続のその時々で、使っているポートが違いますが、大体50000台の番号を使っているので、この範囲にしました。 でも結局、ここまで広範囲のポートを空けているとかなりのセキュリティーホールですよね。 しかし、このあたりのポートを空けないとFTP通信ができないので困っています。 どのように設定すればいいでしょうか? FWマシンはFreeBSD 5.3Rです。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
192.168.100.1 が FTP サーバなんですよね?? クライアント側で PASSIVE をオフにして接続したらいいんじゃないかと思いますが,いかがですか? PASV OFF クライアント側 サーバ側 1.ポート6001番 →コマンド用 →ポート21番 2.ポート6002番 ←データ用 ←ポート20番 (6001,6002は例です)
その他の回答 (3)
- kuma-ku
- ベストアンサー率54% (1558/2845)
>パケットをキャプチャしてみても、データ通信のコネクションが確立してないんですよね。 50000番台のポートでアクセスしてきているので、ここで接続拒否されているようです。 コネクションの向きはServer からSYN が出されていますか? Server TCP:20 ----(SYN)----> Client TCP:50000
お礼
返事が遅くなってすいません。 問題解決しました! 内側からの接続を全て許可するというルールがなかったので、うまくいかないようでした。
- kuma-ku
- ベストアンサー率54% (1558/2845)
うーんダメですか。。。 外部から内部FTP Server(192.168.100.1)へのアクセスですよね?
お礼
はい。 パケットをキャプチャしてみても、データ通信のコネクションが確立してないんですよね。 50000番台のポートでアクセスしてきているので、ここで接続拒否されているようです。 だから結局、この辺のポートあけなきゃできないんですよね。 普通はあけなくてもいいんですよね??? うーん。
- kuma-ku
- ベストアンサー率54% (1558/2845)
こんにちは 基本的には、以下の設定がFTP のデフォルトのようです。 ${fwcmd} add allow tcp from any to ${oip} 20 setup ${fwcmd} add allow tcp from any to ${oip} ftp setup http://menter.rightstuff.co.jp/~yasu/server-memo/ipfw.html http://www.iiis.ne.jp/firewall/ http://takaq1.plala.jp/freebsd/firewall/firewall_2.htm クライアント側からPASV モードで接続してもNG ですか? http://www.atmarkit.co.jp/aig/02security/ftppasv.html
お礼
回答ありがとうございます。 この設定にしてみても、データ通信ができません。 アップロードしようとすると通信不能になりますね。 PASVにチェックしてもなんら代わりありません。 うーん。どうしても後ろのポートをあけとかないと通信できないですねぇ。 HP参考になりました。 ありがとうございました。
お礼
回答ありがとうございます。 はい。よく考えたらPASVじゃなくていいんですよね。 ですが、内側→外側に出るパケットの許可をしていなかったので、 これでserver→clientにデータコネクションが確立できなかったみたいです。 20,21をあけるというルールのほかにこのルールを追加することで他のポートをあけなくても 通信することができるようになりました(^-^)