FTP接続時のポートの設定について。

FTPについての質問です。

現在、FWの設定で、21番ポートを空けるなどの設定をしていますが、パケット見ると、50000台のポートなどを使って通信しているようで、

${fwcmd} add allow tcp from any to 192.168.100.1 49152-60000

というように、範囲を指定してあけるようにしています。
FTP接続のその時々で、使っているポートが違いますが、大体50000台の番号を使っているので、この範囲にしました。
でも結局、ここまで広範囲のポートを空けているとかなりのセキュリティーホールですよね。

しかし、このあたりのポートを空けないとFTP通信ができないので困っています。

どのように設定すればいいでしょうか？
FWマシンはFreeBSD 5.3Rです。

No.4 ベストアンサー 回答者： kenipi 回答日時： 2005/02/14 19:00

192.168.100.1 が FTP サーバなんですよね??

クライアント側で PASSIVE をオフにして接続したらいいんじゃないかと思いますが，いかがですか?

PASV OFF
クライアント側 サーバ側
1.ポート6001番 →コマンド用　　→ポート21番
2.ポート6002番 ←データ用　　　←ポート20番

(6001,6002は例です)

この回答へのお礼

回答ありがとうございます。

はい。よく考えたらPASVじゃなくていいんですよね。
ですが、内側→外側に出るパケットの許可をしていなかったので、
これでserver→clientにデータコネクションが確立できなかったみたいです。

２０，２１をあけるというルールのほかにこのルールを追加することで他のポートをあけなくても
通信することができるようになりました(^-^)

お礼日時：2005/02/14 21:35

No.3 回答者： kuma-ku 回答日時： 2005/02/09 22:06

＞パケットをキャプチャしてみても、データ通信のコネクションが確立してないんですよね。

50000番台のポートでアクセスしてきているので、ここで接続拒否されているようです。

コネクションの向きはServer からSYN が出されていますか？

Server TCP:20 ----(SYN)----> Client TCP:50000

この回答へのお礼

返事が遅くなってすいません。

問題解決しました！
内側からの接続を全て許可するというルールがなかったので、うまくいかないようでした。

お礼日時：2005/02/14 21:27

No.2 回答者： kuma-ku 回答日時： 2005/02/09 13:28

うーんダメですか。

。。

外部から内部FTP Server(192.168.100.1)へのアクセスですよね？

この回答へのお礼

はい。
パケットをキャプチャしてみても、データ通信のコネクションが確立してないんですよね。

50000番台のポートでアクセスしてきているので、ここで接続拒否されているようです。

だから結局、この辺のポートあけなきゃできないんですよね。
普通はあけなくてもいいんですよね？？？

うーん。

お礼日時：2005/02/09 20:20

No.1 回答者： kuma-ku 回答日時： 2005/02/08 13:56

こんにちは

基本的には、以下の設定がFTP のデフォルトのようです。

${fwcmd} add allow tcp from any to ${oip} 20 setup
${fwcmd} add allow tcp from any to ${oip} ftp setup

http://menter.rightstuff.co.jp/~yasu/server-memo …
http://www.iiis.ne.jp/firewall/
http://takaq1.plala.jp/freebsd/firewall/firewall …

クライアント側からPASV モードで接続してもNG ですか？
http://www.atmarkit.co.jp/aig/02security/ftppasv …

この回答へのお礼

回答ありがとうございます。

この設定にしてみても、データ通信ができません。
アップロードしようとすると通信不能になりますね。

PASVにチェックしてもなんら代わりありません。
うーん。どうしても後ろのポートをあけとかないと通信できないですねぇ。

HP参考になりました。
ありがとうございました。

お礼日時：2005/02/08 22:33