FTPの標準ポート番号を変更する：Tech TIPS

連載目次

解説

　FTPサービスで使用するポート（制御ポート）の番号は、標準ではTCPの21番であるが、セキュリティのために、別のポート番号を割り当てて使用することもできる。ユーザー名とパスワード、アクセス制御（特定のIPやドメインからのアクセスのみを許可する）などに加えて、ポート番号も変更しておけば、容易にはアタックされなくなるだろう（ただし完全ではないので、可能な限り他の手法も併用すること）。

　FTPサービスで使用するポート番号を変更するには、IISの管理ツールで設定を変更すればよい。

　また、変更されたポートへアクセスするためには、FTP接続時にポートを明示的に指定すればよい。

操作方法

●FTPサービスでのポート番号の変更

　FTPのサービスポートを変更するには、IISの管理ツールで該当するFTPサイトのプロパティを開き、デフォルトのポート番号（21）を変更する。

FTPサービスポートの変更
FTPで使用するポート番号を変更すると、セキュリティを向上させたり、1台のコンピューター上で同時に複数のFTPサイトを提供したりできる。
　 （1）設定を変更したいサイトを開き、右クリックしてポップアップメニューから［プロパティ］を選択する。
　 （2）デフォルトのポート番号である21を、別の番号に変更する。ポートスキャンなどの攻撃に見つかりにくくなるように、より大きなポート番号に変更するとよい。

●エクスプローラーでFTPサイトに接続する

　FTPサイトへアクセスする場合、エクスプローラーのアドレスバーに「ftp://ftp.example.co.jp/」などと入力するのが普通であるが、ポート番号が非標準の場合は、ホスト名に続けて「:ポート番号」も指定する。

ポートを指定してFTPサイトに接続する
非標準ポートを使用するFTPサイトへ接続する場合は、ftpのサーバー名に続けてポート場も指定する。
　 （1）末尾に「:12321」というふうに、ポート番号を指定する。

●FTPコマンドでFTPサイトに接続する

　ftp.exeコマンドでは、コマンドプロンプトからの起動時にポート番号を明示的に指定することはできない（UNIXのftpコマンドなどでは、「ftp サーバー名 ポート番号」のように指定できるが、Windows OSのftpでは利用できない）。

　代わりに、ftp.exeコマンドを引数なしで起動し、ftpのプロンプトから「open サーバー名 ポート番号」（openの代わりにoだけでもよい）として起動する。

●ファイアウォールに注意

　FTPのポート番号を変更すると、例えばアドレス変換（NATやNAPT、IPマスカレードなど）を使ったルーターで、FTPが通らなくなる可能性がある。FTPプロトコルでは、制御ポートとデータポートの2つのポート（TCPコネクション）を利用するが、使用しているポートやIPアドレスなどの情報がデータとして制御ポート中を流れるため、これらに対処しなければならない。標準的なFTPポートを使用している場合は、アドレス変換部（ルーター）において適切に処理されるが、ポート番号を変更すると、FTPの通信であることが認識できなくなるので、FTPの通信ができなくなる。具体的には、FTPサーバーにはログオンできるが、dirコマンドやget／putコマンドなどが無応答状態になる。

・FTPをファイアウォール・フレンドリ・モードに変更する方法

　そのため、このような設定を利用する場合は、イントラネットや（アドレス変換を伴わない）VPNネットワークなどで使用するか、FTPのパッシブモードを利用する（パッシブモードについては関連記事参照）、ファイアウォールのFTP処理に対して、ポート番号を明示的に指示する、などの対処が必要である。

「Tech TIPS」