アクセスリストについて（ｆｔｐ通信）

初めて質問させて頂きます。

今、FTPの通信で困っています。以下の内容の要件でアクセスリストを作成してFTPのGETの通信を行おうとしているのですが現状、要件通り
に行かなくて困っています。
以下に、構成と作成したアクセスリストを提示しました。
どなたかわかる方がいらっしゃいましたらご指導お願いします。
できれば具体的にどこがいけないのかを教えて頂きたいです。

構成
送信元　　　　　　送信先 要件
10.90.11.20　　　 172.15.160.4　 FTPのGET
10.90.11.21　　　 172.15.160.4　 FTPのGET
10.90.11.22　　　 172.15.160.4　 FTPのGET
10.80.11.22　　　 172.15.160.4　 FTPのGET

【アクセスリスト】

interface vlan TEST
ip access-group FTP_TUUSIN_IN in
ip access-group FTP_TUUSIN_OUT out

ip access-list extended FTP_TUUSIN_OUT
permit icmp any any
permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.90.11.22 eq ftp-data host 172.15.160.4
permit tcp host 10.90.11.21 eq ftp-data host 172.15.160.4
permit tcp host 10.90.11.20 eq ftp-data host 172.15.160.4
permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4
permit tcp host 10.90.11.22 eq ftp host 172.15.160.4
permit tcp host 10.90.11.21 eq ftp host 172.15.160.4
permit tcp host 10.90.11.20 eq ftp host 172.15.160.4
permit tcp host 10.80.11.22 eq ftp host 172.15.160.4
permit udp any host 224.0.0.2 eq 1985
deny ip any any log

ip access-list extended FTP_TUUSIN_IN
permit icmp any any
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 gt 1023 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 gt 1023 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 gt 1023 established
permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 gt 1023 established
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20
permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22
permit tcp host 172.15.160.4 eq ftp host 10.90.11.21
permit tcp host 172.15.160.4 eq ftp host 10.90.11.20
permit tcp host 172.15.160.4 eq ftp host 10.80.11.21
permit udp any host 224.0.0.2 eq 1985
deny ip any any log

No.3 回答者： invalid 回答日時： 2008/04/25 23:17

> ということは、以下の内容を消せばいいってことですね。

> permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4

残念ながら違います。
FTPサーバ(172.15.160.4)側のftp/ftp-dataを許可する必要があります。

質問された条件に合わせて具体的に書くと以下のような内容になります。
特にOUT方向のリストが変わっていますのでご確認ください。

-------------------------------------------------------------------
ip access-list extended FTP_TUUSIN_OUT
permit icmp any any
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp-data established
permit tcp host 10.90.11.21 host 172.15.160.4 eq ftp-data established
permit tcp host 10.90.11.20 host 172.15.160.4 eq ftp-data established
permit tcp host 10.80.11.22 host 172.15.160.4 eq ftp-data established
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.21 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.20 host 172.15.160.4 eq ftp
permit tcp host 10.80.11.22 host 172.15.160.4 eq ftp
permit udp any host 224.0.0.2 eq 1985
deny ip any any log

ip access-list extended FTP_TUUSIN_IN
permit icmp any any
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 established
permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 established
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20
permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22
permit udp any host 224.0.0.2 eq 1985
deny ip any any log
-------------------------------------------------------------------

No.2 回答者： invalid 回答日時： 2008/04/24 22:13

クラインアント４台分書くと大変なので10.90.11.22の１台として書きます。

ＦＴＰには２つモード（ポート／パッシブ）がありますので
どちらで実行されているのかわかりませんが、

■ポートモードであれば
10.90.11.22 → 172.15.160.4:21
10.90.11.22 ← 172.15.160.4:20
という接続方向(矢印の向き)になるので、設定するフィルタは以下のようになると思います。

<アウトバウンド用フィルタ> FTP_TUUSIN_OUT
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp-data established

<インバウンド用フィルタ> FTP_TUUSIN_IN
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22


■パッシブモードであれば
10.90.11.22 → 172.15.160.4:21　
10.90.11.22 → 172.15.160.4:>1023
という接続方向(矢印の向き)になるので、設定するフィルタは以下のようになると思います。

<アウトバウンド用フィルタ> FTP_TUUSIN_OUT
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.22 host 172.15.160.4 gt 1023

<インバウンド用フィルタ> FTP_TUUSIN_IN
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established
permit tcp host 172.15.160.4 gt 1023 host 10.90.11.22 established


※どちらもクラインアント側のポート指定していません

実機を使っていないのでチョット自信がないですが^^;
おそらく合っていると思います。

No.1 回答者： invalid 回答日時： 2008/04/23 23:14

(1)送信元と送信先のどちらがFTPサーバなのでしょうか？

サーバが172.15.160.4で
クライアントが10.90.11.20～10.80.11.22なのでしょうか

(2)INとOUTの関係が判りません。
内容から勝手に判断すると
内部ＮＷが10.x.x.x
外部ＮＷが172.x.x.x
でよいですか？

ＦＴＰには２つモード（ポート／パッシブ）があり
データセッションの張り方が変わりますので
参考ＵＲＬを一度ご確認ください。

※GET／PUTはこの場合は関係しません。

参考URL：http://www.mrl.co.jp/support/nwginfo/firewall/do …

この回答への補足

invalidさん　
お返事ありがとうございます。

(1)送信元と送信先のどちらがFTPサーバなのでしょうか？
サーバが172.15.160.4で
クライアントが10.90.11.20～10.80.11.22なのでしょうか

⇒その通りです。

(2)INとOUTの関係が判りません。
内容から勝手に判断すると
内部ＮＷが10.x.x.x
外部ＮＷが172.x.x.x
でよいですか？

⇒　こちらもその通りです。

参考URLを参照しましたが、この場合、ポート21番がどうやら変という事はわかったのですが、具体的にどこが違うのかわかりません。

補足日時：2008/04/24 10:21

この回答へのお礼

ということは、以下の内容を消せばいいってことですね。

permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4

一度その状態で作成し、試してみます。
またわからなければ新規でご質問させて頂きます。

本当にありがとうございます。

お礼日時：2008/04/25 14:27