２つのＩＤＣ間でのＦＴＰ転送で問題発生。

こんばんは、私は会社でネットワークの担当をしています。

現在、ＩＤＣを２箇所借りていまして社内のシステムを運用しています。
ＦＷはヤマハのＲＴＸ２０００を使い、２つのＩＤＣに設置しているＲＴＸ２０００のポリシー設計は全く同じです。

ＡのＩＤＣからＢのＩＤＣのＦＴＰサーバーに接続して、データの転送を行おうとしますと、接続までは行きますが、ディレクトリの一覧表示以降がどうしてもうまくいきません。

テストはノートＰＣを持ち込んでＦＦＦＴＰでやっています。
設定をいろいろ変えてもだめでした。
エッジからはいけるのに、ＩＤＣからはうまくいきません。

ちなみに、ポリシーの一部は次のとおりです。
ip filter 10 pass * * established
ip filter 20 pass * * tcp * ftpdata,21,22,smtp,domain,www,pop3,https,8080,8443,13589,13605
ip filter 21 pass * * tcp * 1279,1311,1488,3389
ip filter 30 pass * * udp * domain,ntp
ip filter 40 pass * * udp domain,ntp *

どのようなことが考えられるでしょうか？
お知恵をお貸し下さい・・・。

宜しくお願い申し上げます。

No.2 回答者： hetarepyon 回答日時： 2006/10/01 13:20

クライアント(C) と FTP サーバ(S)がありますよね。

その際に

　21/tcp(FTP) は C -> S

で接続が開始されるのですが、FTP-DATA は逆なんです。

　20/tcp(FTP-DATA) は S -> C

そのため、FTP-DATA だけは他の TCP のサービスと逆のルールを書かないと繋がりません。例えば

　pass in tcp from any to any port = ftp flags S/SA

が 21/tcp(FTP) なら、20/tcp(FTP-DATA) は

　pass out tcp from any port = ftp-data to any flags S/SA

みたいに『サーバの 20/tcp 』から『out』(出て行く)と設定する必要があります。FTP はファイアウォール泣かせなサービスなんですよ ^^;)。

ちなみに PASSIVE だと 21/tcp(FTP) と例えば 5000～6000/tcp(PASSIVE 用)共に『in』(入ってくる)設定もできますが、FTP サーバとルータ双方で設定が必要になりますのでこれまた面倒です。

ルータによっては FTP プロキシ機能が搭載されていて PASSIVE/ACTIVE 共に上手く処理してくれる場合があります。多分エッジ(?)から上手くいくのはこの機能のおかげかもしれません。


あと余計なお世話かもしれませんが、iDC 間でデータのやり取りをされるということはデータの自動転送を検討されているのではないでしょうか。その場合、FTP よりも SFTP や SCP（いずれも SSH ですが）の利用をオススメします。安全性などの面でも、FTP より優れてますからね。

No.1 回答者： hetarepyon 回答日時： 2006/09/30 23:02

症状からすると FTP が PASSIVE モードになっているように思いますが、ACTIVE モードにしてもダメですか？

あと YAMAHA のルール記法を忘れてしまったのですが、FTP の場合、21/tcp（FTP) と 20/tcp（FTP-DATA） は方向が逆になりますが、その点は大丈夫ですか？

この回答への補足

ご返答ありがとう御座います。

１．PASVモードは切ってみましたがダメでした。

２．
＞あと YAMAHA のルール記法を忘れてしまったのですが、FTP の場合、21/tcp（FTP) と 20/tcp（FTP-DATA） は方向が逆になりますが、その点は大丈夫ですか？
こ、これは・・・どういう意味でしょう！？
ボクもまだまだ経験が少ないので・・・ひっかかります・・・。
よろしければ、もうすこし詳しくお教えくださいませんでしょうか？

補足日時：2006/09/30 23:35