FTPのポート変更に伴う接続障害

>では一般的なルーターの場合ですとアクティブモードでやる場合21番ポートが変更されないため、データなどのコマンドがルーターによって捨てられるという事ですか？ FTPのコマンドポートを通過するパケットを覗き見していないルータでは、アクティブモード(データコネクションをサーバから貼る)でFTP通信できません。 その為、パッシブモードでクライアント側から接続します。 で、コレはクライアント側の問題。 今回はサーバ側のコマンドポートを変更していますので、クライアント側もコマンド内容の覗き見はできません。 パッシブモードならクライアント側はコマンドポートが変わろうが関係ありませんが、 サーバ側のルータはそういうワケにはいきません。 # パッシブモードの場合、クライアントからの接続を受け付け、正しくサーバ機へ転送できないと接続できません。 >たとえばアクティブモードで21番と75番を開けてやればアクティブでの通信は可能ということですか？ アクティシィブモードで指定するのは「接続先(間際らしいですがクライアント側)のポート番号」です。 通常は暗黙で20番が使われているコトになりますが。 http://gigazine.net/news/20101008_cerberus_ftp_server/ 「PASV Port Range」で適当な範囲を設定して、 サーバ側のルータでその範囲の接続要求をサーバ機に転送する。 と設定して、クライアントにはパッシブモードの使用をお願いする。 というので良いかと。 # もちろん設定した範囲はサーバ機のセキュリティソフトでも許可するようにする必要があります。 ルータによっては監視しているコマンドポートの結果を書き換えてクライアントに送信し、待ち受けポートを変更してくれるものがあったりしますが… この場合、パッシブモードでも正しく動作しない場合があります。 ウチのサーバ(Linux)はFTPは開けていないですねぇ。 SSH開けておけばSFTPでファイルやりとりできますし。

ルータがFTPに対応していた…のですな。 FTPは2つのポートを使用します。 コマンドのやりとりをする21番と、データのやりとりをする「任意のポート」があります。 通常だとクライアントからサーバの21番ポートに接続して認証やコマンドを発行します。 データポートは「サーバからクライアント」に向けて接続を張ります。 で…FTPに対応しているルータだと、サーバへ21番ポートのパケットを中継する際に中を覗いて 「サーバからクライアントへの接続要求」をクライアントへ転送するように処理してくれています。 この時、パケットを除くのは「TCPの21番ポート」ですので、コマンド用のポート番号を変更すると この機構が動作しない為、外部からの接続を捨てます。 よって、コマンドの実行結果(ファイルの内容など)が受け取れなくなります。 PASVモードの場合、データポートも「クライアントからサーバ」へ接続しますので、ルータの内側に居ても問題はりません。 が、サーバ側になる場合はクライアントからの接続要求をサーバに転送しなければなりません。 この時の接続ポートはやはりサーバ側からのコマンドで通知されるので、そのポートを監視していないとルータが外部からの接続を破棄してしまいます。 FTPサーバソフトにPASVモードでのポート番号を設定できるのであれば、その範囲をサーバへ転送するようにすることで接続可能になります。 ちょっと古いですが… http://www.aconus.com/~oyaji/router/ftp.htm 辺りが参考になるでしょう。 >またよければFTPなどのパケットを監視するおすすめのソフトを教えていただければ幸いです。 ルータでパケット破棄されていなければ… wiresharkなら一通り眺められるかと。 ターゲットとするFTP以外のパケットも大量に出てきますが…。