- PR -

FTPのモードについて

1
投稿者投稿内容
未記入
会議室デビュー日: 2008/08/25
投稿数: 9
投稿日時: 2008-09-17 17:36
こんにちは。
今回はFTPのPort Mode、PASV Modeについてお聞きしたいと思います。

一般的にPort Modeでは、データコネクションの接続において、サーバー側から
クライアントのランダムポートに対して接続を試みるので、ファイヤーフォール
やルーターの設定によって、ブロックすることがあるとされています。

そこでPASV Modeの採用によりこれを解決できるとされてますが、PASV Modeを
使っても、サーバー側で同じようにファイヤーウォールの設定を行っていたら
同様にブロックされてしまうのではないかと思います。
従いまして、クライアント、サーバーのどちらでエラーになるかであって、
大きな解決策にならないと思うのですがいかがでしょうか?

情報お持ちの方、よろしくお願いいたします。
neu
会議室デビュー日: 2004/11/07
投稿数: 7
投稿日時: 2008-09-17 21:13
pasvモードで使用したうえで、サーバ側でpasvで利用するポートを指定して、
その範囲をファイヤーウォールで開けて解決、だったと思います。
※すいません、実際に使用したことが無いので・・・

vsftpdであれば、pasv_max_portとpasv_min_portがポート範囲指定用の設定項目のようです。
F/A
ぬし
会議室デビュー日: 2006/03/18
投稿数: 312
お住まい・勤務地: Tokyo
投稿日時: 2008-09-17 21:38
一般的にはneuさんの仰られる様に
FTPサーバ側で予めPASVモードで使用するポートを予約する。
と、なると思います。

高機能なファイアウォール製品だと
通信パケットを監視していて、動的にPASVコマンドで指定されたポートのみを許可する。
といった動きをするのもあったと思います。

ファイアウォールの設定によってはブロックされるという点では同じですよね?
という点はその通りだと思います。

パッシブモードはクライアント側が、
 ・ポートを空けなくていい。
 ・NAT越えでも使用出来る
という点が大きいのかもしれませんね。


[ メッセージ編集済み 編集者: F/A 編集日時 2008-09-17 21:39 ]
未記入
会議室デビュー日: 2008/08/25
投稿数: 9
投稿日時: 2008-09-17 23:45
neuさん
F/Aさん

情報ありがとうございます。
PASVモードは、データコネクションで使用するポートをサーバーからクライアント
に対して通知する。
このとき、サーバー側はあらかじめ使用するポート番号を指定することができて、
ファイヤーウォールもそれに合わせて設定する、ということですね。

これであれば、PORTモードと仕組みが異なることが理解できました!

ということは、PORTモードでも同じことが言えますか?
PORTモードは、データコネクションで使用するポートをクライアントからサーバー
に対して通知する。
このとき、クライアント側はあらかじめ使用するポート番号を指定することができて、
ファイヤーウォールもそれに合わせて設定する。
(または、動的にPORTモードで使用したポートを自動的に許可するファイヤーフォールを採用する)
それともこういった設定はFTPサーバーでなければできないのでしょうか?

[ メッセージ編集済み 編集者: 未記入 編集日時 2008-09-17 23:49 ]
あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2008-09-18 00:19
> このとき、クライアント側はあらかじめ使用するポート番号を指定することができて、
> ファイヤーウォールもそれに合わせて設定する。

例えば10個のポートを用意したとして、それら全ポートに対して外部から接続できるようにすることは技術的に可能でしょうが、セキュリティの問題が・・・

> (または、動的にPORTモードで使用したポートを自動的に許可するファイヤーフォール
> を採用する)

なので、通常はこのようにします。
未記入
会議室デビュー日: 2008/08/25
投稿数: 9
投稿日時: 2008-09-18 09:17
あんとれさん

返信ありがとうございます。

そうですか、技術的にクライアント側で使用するポートの割り振りができるのであれ
ば、結局のところPASVも同じですね。
おそらくサーバー側の管理者もポートを空けるのを嫌うと思いますから。

いずれにせよ、FTPで使用するポートを一時的に自動で許可してくれるファイヤーフォ
ールを採用するのが主流ということになりますね。

ところで、上記に対応しているファイヤーフォールは、FTPで使用するランダムポート
を設定なしに自動的に判別して許可しくれるのでしょうか?
または、これもポートの範囲(何番から何番まではok)というような設定がありますか?

よろしくお願いいたします。



1

スキルアップ/キャリアアップ(JOB@IT)