サーバーの構築(FTP)

よろしくお願い致します。
フレッツＩＳＤＮで、NTT-ME：MN128SOHO：PAL：ダイアルアップルータで2台のPCを接続しております。
自宅サーバを構築しようと思い、現在セットアップ中です。ダイナミックDNSサービス(DHS)を利用しております。
WWWサーバ・メールサーバは、何とかLAN側・WAN側共にアクセスできるようになりました。しかし、どうしてもFTPサーバだけがうまくいきません。LAN側からはアクセスできるのですが、WAN側からどうしてもアクセスすることができません。どうかヒントを教えてください。
お願いします。

No.4 ベストアンサー 回答者： Cedar 回答日時： 2002/03/03 12:14

ルーターの設定メニューでIPのオプション画面で

以下を追加します。

ip nat 6 192.168.0.19/tcp/21 ipcp remote *
ip nat 7 192.168.0.19/udp/20 ipcp remote *

上記でテーブル番号(natのすぐ後の数字）は
空いている番号を設定してください。
サーバーに設定したIPアドレスは適宜替えてください。
設定後、21はftp、20はftp-dataに変わりますが
まったく問題ありません。

後は、セキュリティについて対策を怠らずに！！
行う事はパケットフィルタリングです。
IP設定のoptionの中で「ip　filter　・・」と書いて行います。
重要なところは、塞いだりフィルターをかけましょう。

以下は自分の使っていた物です。書き込みのために
少し書き直しましたが、置き換えてみては如何でしょうか。
間違っていたらごめんなさい。さらに詳しい方、間違えを見つけた
方がいらっしゃいましたら御指摘頂ければ幸いです。

ちなみに、routerIPは192.168.1.254で
ネットワークアドレスは192.168.1.0/24で、
サーバーは192.168.1.70とした場合です。

変えるところは、IPを自分の環境にする点です。
１．以下でipが192.168.1.?の物は末尾（？）70と254の物
　　だけ末尾を貴方の環境に書き換え
２．ルーターが192.168.A.1の場合、以下で192.168.1.?の物は
　　/32と/24だけ、3つ目の1をAに書き換え。

---
ip filter 1 reject in 10.0.0.0/8 * * * * remote *
ip filter 2 reject in 172.16.0.0/12 * * * * remote *
ip filter 3 reject in 192.168.0.0/16 * * * * remote *
ip filter 4 pass out * 192.168.1.254/32 * * * remote *
ip filter 5 reject out * 10.0.0.0/8 * * * remote *
ip filter 6 reject out * 172.16.0.0/12 * * * remote *
ip filter 7 reject out * 192.168.0.0/16 * * * remote *
ip filter 8 reject in * 192.168.1.0/32 * * * remote *
ip filter 9 reject in * 192.168.1.255/32 * * * remote *
ip filter 10 reject in * 192.168.1.254/32 tcpest * * remote *
ip filter 11 pass in * 192.168.1.70/32 tcp * smtp remote *
ip filter 12 pass in * 192.168.1.70/32 tcp * ftp remote *
ip filter 13 pass in * 192.168.1.70/32 udp * 20 remote *
ip filter 14 pass in * 192.168.1.70/32 tcp * www remote *
ip filter 15 pass in * 192.168.1.70/32 tcp * pop3 remote *
ip filter 23 reject in * * tcp * 445 remote *
ip filter 22 reject in * * tcp * 5000 remote *
ip filter 23 reject in * * tcp * 143 remote *
ip filter 24 reject in * * tcp * 139 remote *
ip filter 25 reject in * * tcp * 113 remote *
ip filter 26 reject in * * tcp * 135 remote *
ip filter 27 reject in * * tcp * telnet remote *
ip filter 29 reject in * * tcpest * * remote *
ip filter 30 pass in * 192.168.1.0/24 tcp * 1024-65535 remote *
ip filter 31 pass in * 192.168.1.0/24 udp * 1024-65535 remote *
ip filter 32 reject out * * udp route route remote *---
ここでは、smtp、ftp、ftp-data、www、pop3は
フィルターしない設定にしています。
必要となれば適宜NATとfilterの設定をペアーで
追加しましょう。

ちなみにfilterは順番があり、番号が若い方が優先されます。

あとは外からの設定の確認は、以下のurlで[probe myports]
でチェックできます。
参考になれば。
では。

参考URL：https://grc.com/x/ne.dll?bh0bkyd2

No.5 回答者： Cedar 回答日時： 2002/03/03 12:29

間違え

ip filter 23 reject in * * tcp * 445 remote *
↓ip filter 21 reject in * * tcp * 445 remote *でした。
最後改行忘れました。すみません。
参考までに

http://www.bug.co.jp/mn128/faq/sample/sec.htm

参考URL：http://www.bug.co.jp/mn128/index.html

この回答へのお礼

どうもご丁寧にありがとうございました。
非常に参考になり、ひとつ前進しました。
本当に、ありがとうございます。

お礼日時：2002/03/04 20:20

No.3 回答者： GangRocker 回答日時： 2002/02/27 13:35

こんにちわ。

補足です。
というか、回答が完璧でなくってごめんなさい。

FTPを利用されるには制御用ポート（21番）とデータ転送用ポート（20番）の2つを開放してやる必要があると思います。
私も昨晩の回答でうっかりしており、21番のみ回答させて頂きましたが、
おっしゃる通り、ftpdata（20番）も開放する必要があります。

お試しください。

この回答へのお礼

何度もすみません。
助かりました。どうもありがとうございます。

お礼日時：2002/03/04 20:21

No.2 回答者： katsuos 回答日時： 2002/02/27 01:00

基本は#1の方のおっしゃる通りでしょう。

ルータにパケットフィルタリング機能があって、FTPをブロックしていたり、サーバOSが（書いてないので不明ですが）ポートを閉じている可能性が大ですね。FTPについては、デフォルトで閉じているものがほとんどですよ（Linuxなど）。

この回答への補足

ありがとうございます。
自分では開放しているつもりですが、ルータの細かい設定がいまいちわかりません。
WAN（外側）から何か簡単な確認方法は、無いでしょうか？
どうもすみません。

補足日時：2002/02/27 12:22

この回答へのお礼

どうもありがとうございました。
また機会がありましたらよろしくお願いします。

お礼日時：2002/03/04 20:25

No.1 回答者： GangRocker 回答日時： 2002/02/27 00:53

FTPポート（通常21番）はWAN側からのアクセスを許可（開放）されていますか？

この回答への補足

ありがとうございます。
セキュリティーサイトでテストしてみると、WWW(OPEN）・
smtp(OPEN）・POP(OPEN）・ftp(OPEN）・ftpdata(filtered）となります。
ftpdataも開放しなければいけないのでしょうか？
また、開放の仕方もはっきりわかりません。
どうぞ、よろしくお願いいたします。

補足日時：2002/02/27 12:25