- - PR -
ISAとFTPルーティング
1
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-11-04 17:33
もう無いと思っていたISA関連の不明な点が出てきてしまいました。
------------------------------------------------------- ネットワーク構成図 インターネット | ルーターA | Win 2k3 (ISA 2004)−社内PC | ルーターB | ネットワークB (172.19.0.0/16) 社内PC、ISA機、ルーターA,Bは172.19.200.0/24に所属しています。 ------------------------------------------------------- 実験と結果 FTP通信成功:社内PC→ISA→ルーターA→インターネット FTP通信成功:ISA→ルーターB→ネットワークB FTP通信失敗:社内PC→ISA→ルーターB→ネットワークB ------------------------------------------------------- ISAのルール「全てのトラフィックを許可」 ログには拒否されたことは表示されていますが、 拒否したルールの名称が出てこないので、 ルール以前で弾かれている可能性があります。 ------------------------------------------------------- 受け側のFTPサーバ ルーティングテーブルを社内PCに追加すると成功するので、 受け側のサーバには問題はなさそうです。 ------------------------------------------------------- 内部ネットワークへのFTP通信のルーティングがダメなようです。 ちなみに、FTP以外のプロトコルはルーティング可能です。 Ping, NetBios, HTTP・・・全てOKなのを確認しました。 いつも頼ってばかりで申し訳ございませんが、 また、お力をお借りできませんでしょうか? | ||||||||||||||||
|
投稿日時: 2004-11-04 19:43
こんばんわ.
具体的にどのようの routing を追加されたのでしょう? 個人的には Client は default を ISA server が動く host へ, ISA は default を router A へ,Network B を router B に設定すれば 普通に通信できるのではないかと思われます.
一般論での ftp でしょうか?それとも WWW browser の簡易 ftp 機能でしょうか? ISA 後者の場合,ISA server では proxy は動いていますか? 前者の場合,その ftp client の通信は port mode?passive mode? あるいは両方ダメでしょうか? | ||||||||||||||||
|
投稿日時: 2004-11-05 15:51
kaz様、いつもお世話になっております。
-------------------------------------------------------------------- ルーティングの流れ 社内PC の gateway は ISA で、ISA の default は ルーターA です。 その上で、宛先が ネットワークB になっている場合には ISA から ルーターB にパケットが流れるようになっています。 -------------------------------------------------------------------- 現状 ですから、通常は正常にルーティングされているのですが、 なぜか、FTP のパケットだけが ISA で止められてしまうのです。 -------------------------------------------------------------------- FTP について ブラウザの簡易 FTP は MS のサイトを見て両モード試しましたが、 コマンドラインからの FTP はモード変更の仕方がわかりませんで、 とりあえずそのまま試しただけとなっております。 それで、Client で明示的にプロキシに ISA を設定した場合、 ブラウザを使った FTP は読み取り専用で接続できました。(それ以外はサッパリです) -------------------------------------------------------------------- ISAの挙動 ログには拒否された事が表示されていますが、拒否したルールは表示されません。 また、ISA 自身は普通に FTP 接続が可能となっております。 なお、21 番ポートへの通信の段階でISAは拒否していることも確認できました。 -------------------------------------------------------------------- 各端末に ISA を経由しないルーティングを追加するしかないのでしょうか? [ メッセージ編集済み 編集者: るーさま 編集日時 2004-11-05 16:12 ] | ||||||||||||||||
|
投稿日時: 2004-11-05 17:24
こんばんわ.
command prompt の ftp.exe は passive 出来ないと記憶しています. ですので,port mode が NG なのでしょうね. GUI な ftp client をお使いになられては如何でしょうか? passive mode は普通に使えると思います. www browser は proxy を使う場合, 簡易 ftp 機能を利用するとしても proxy までは http で通信します. なので,proxy を定義した場合は http が permit なら www browser の簡易 ftp 機能も permit でしょう.
ちなみに ftp は許可されてますでしょうか? 前述の内容でちょっと気になりました.
この場合,ISA は bridge してるのでしょうか? ISA が router としても機能しているなら, Client が ISA に default gateway を向けるのは正しいと思います. が,ほんとうに bridge なら,default は router A に向けて, Network B へは router B へ向けるんじゃ無かろうかと. ISA server が bridge な環境で動くか否かはわかりかねますが, network の構成は正しいでしょうか? | ||||||||||||||||
|
投稿日時: 2004-11-05 19:22
kaz様、ご返信ありがとうございます。
> port mode が NG の可能性あり port mode を ISA で OK には出来ないのでしょうか? ISA 無しの Win2k3 に RRAS を機能させたらルーティング出来たので、 私としては間違いなく ISA が原因だと思っています。 > GUI な FTP クライアントを用いてテストを テスト環境として FFFTP を使ってみたのですが、port も passive もダメでした。 > HTTP が OK なら ブラウザを使った簡易 FTP も通るハズ 「読み取り可能でのアクセス」という中途半端な状態でしかアクセスできませんでしたが、 これも仕方ないということなのでしょうか? > FTP 通信の許可・不許可 もちろん許可してあります。「すべての送信トラフィック」が許可されています。
私、肝心な所の説明を間違えていました。申し訳ございません。 ルーターA は 社内LAN(172.19.200.0/24)とは別セグメントにありました。 俗に言う、unnumbered pppoe 接続でグローバルIP しかもっていないのです。 しかし、FTP 以外のプロトコルは意図した通りに内部ルーティングされていますので、 少なくともネットワーク的に間違っているということではないと思うのですが・・・。 いつもご迷惑ばかりかけて申し訳ありません。 | ||||||||||||||||
|
投稿日時: 2004-11-05 23:45
であれば,そのとおりですね. ISA が「停めている」のでしょう.
これは仕様と言うか,www browser による簡易 ftp 機能とはそういうものです. これで普通に ftp の upload が出来るようなら, それはそれで gui な ftp client は駆逐される気がします. 要するに「sub-set な ftp client 機能」と認識しておけばよろしいかと.
社内 pc に routing 情報を追加することで ftp server と通信できるようになるとのことですが, 実際にはどのような設定を追加したらそのようになるのでしょう? ちなみに,検証された http server と ftp server は同一機体でしょうか? NetBIOS は?ftp client から ftp server まで ping は通る? | ||||||||||||||||
|
投稿日時: 2004-11-08 10:17
おはようございます。
ISA が FTP のプロトコルだけ止めているなんて不思議な話ですね。
そうですね。私の認識が間違っていたようです。
「社内PC → ルーターB → ネットワークB」となるように 「route add」を用いて各端末のルーティングテーブルを書き換えたのです。 しかし、全端末にこの行為を行うのはバッチを用いても美しくないと・・・。
検証に用いた http server と ftp server は同一機体ですし、 「社内PC → ISA → ルーターB → ネットワークB」という条件であっても ftp client から ftp server まで FTP を除いたプロトコルは全てルーティングされます。 「なぜFTPだけが?」という思いで一杯です。 [ メッセージ編集済み 編集者: るーさま 編集日時 2004-11-08 10:18 ] | ||||||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。