QNAP NAS FTPS接続ができない

QNAP TS-112 の FTPサーバ機能を有効にしました。（添付画像参照）
設定としては
　プロトコルタイプ：FTP(標準) もしくは FTP over SSL/TLS(Explicit)
　ポート番号：21

別のネットワークから接続テストをしてみました。
FTP(標準)のときは、接続＆ファイルリスト受信までできるのですが、
FTP over SSL/TLS(Explicit)のときは、接続できるのですが、ファイルリスト受信ができていないようです。
下記のログから、データコネクションができてないと思われます。

ルータのUPnP機能は有効となっているため、番号指定のポート解放はしていません。
（通常のFTPは接続できているので、ポート解放については問題ないと思います）

FTPSでデータコネクションできていない理由がわかりません・・・
何か解決策がありましたらご教授願いたいです。
よろしくお願いいたします。

FFFTPで接続したときのログです。
設定：アクティブモード、FTPS(Explicit)で接続にのみチェック
----------------------------
FTP over Explicit SSL/TLS (FTPES)を使用します.
ホスト xxx.xxx.com (xxx.xxx.xxx.xxx (21)) に接続しています. (TCP/IPv4)
接続しました. (TCP/IPv4)
220 NASFTPD Turbo station 1.3.2e Server (ProFTPD) [yyy.yyy.yyy.yyy]
>AUTH TLS
234 AUTH TLS successful
>PBSZ 0
200 PBSZ 0 successful
>PROT P
200 Protection set to Private
>USER admin
331 Password required for admin
>PASS [xxxxxxxxxxxx]
230 User admin logged in
>FEAT
211-Features:
MDTM
MFMT
UTF8
AUTH TLS
MFF modify;UNIX.group;UNIX.mode;
MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
LANG en-US*
PBSZ
PROT
REST STREAM
SIZE
211 End
>XPWD
257 "/" is the current directory
>TYPE A
200 Type set to A
>PORT zzz,zzz,zzz,zzz,7,94
200 PORT command successful
>LIST
425 Unable to build data connection: Connection timed out
コマンドが受け付けられません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.
----------------------------

No.1 ベストアンサー 回答者： Wr5 回答日時： 2014/05/05 03:40

>>PORT zzz,zzz,zzz,zzz,7,94

>200 PORT command successful

ってコトで、クライアント側のルータが指定された接続要求をクライアントPCに転送しなければなりません。
# パッシブモードならサーバ側のルータが転送する必要がある。

では、クライアント側のルータはどのようにしてサーバからのデータコネクションの接続要求を「配下の各クライアント」へ振り分ければいいでしょう？
ポート番号はコマンド発行時に任意に選択されますからあらかじめ固定で持っておくのは難しいでしょう。

FTPSではなく、通常のFTPではなんで可能なんでしょうか？？
FTPのコマンドポートを21番以外に変更したときも通常のFTPが利用できるでしょうか？？

ルータが中継するFTPのコマンドパケットの内容を監視し、PORTコマンドで指定したポートへの接続を転送するように処理しているから通常のFTPでは接続できているのではないですか？
# 一時的なポート開放なのでUPnPとか無関係です。
さて、FTPSで暗号化されたコマンドポートはどうやって監視しましょうか…。
SSL通信は途中のパケットで暗号化を解除できませんから監視は諦めざるをえません。
ってことはPROTコマンドで指定したポート番号も判りませんから、上記の「データコネクションの中継」もできません。
ルータから見たら転送先不明の接続要求がきたので通常の運用に従ってただ破棄するだけです。


対処としては…
クライアントをDMZに置く。
=>今までルータが弾いていた攻撃パケットもクライアントで対処する必要があります。
範囲指定の接続要求をクライアントに転送するようにして、クライアント側のPORTコマンドでポート番号の範囲を指定する。
=>クライアントソフトにそういう機能が必要＆複数のクライアントPCでの利用が難しくなる＆クライアントPCはDHCPが利用できない。
ってところですかね。

PSAVコマンドの場合はサーバ側のルータで似たような状況になる可能性があります。

この回答へのお礼

ありがとうございました。
回答内容は理解できたつもりなのですが、対策に時間がかかりそうなので、いったんホームネットワーク内のみの使用にしました。

お礼日時：2014/05/28 21:33