AサーバーのファイルをBサーバーに転送する方法について教えてください。
ウェブで情報を調べて実行してみましたがうまくいきません。

Aサーバーの/home/me/appをBサーバーの/home/me/testにコピー
BサーバーのSSHのポート番号は●●●●に変更してある。

下記のコマンドを実行
scp -r -P ●●●● /home/me/app user@xxx.xxx.xxx.xxx :/home/me/test


応答メッセージ
--------------------------------------------------------------------------
ssh: connect to host xxx.xxx.xxx.xxx port ●●●●: Connection timed out
lost connection
--------------------------------------------------------------------------

サーバーBのiptables
--------------------------------------------------------------------------
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport ●●●● -j ACCEPT
-A INPUT -s (転送元サーバーのIPアドレス) -p tcp --dport ●●●● -j ACCEPT→追加した行
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
COMMIT
--------------------------------------------------------------------------

サーバーAのiptablesも同じ記載方法です。

サーバーBのiptablesの設定はこれで良いか教えてください。
サーバーAのiptablesに変更が必要であれば記載方法を教えてください。
接続はSSHというのは解ったのですが、ファイルの転送自体は何で行われるのでしょうか?FTPなどでしょうか?

ご回答宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

scpコマンドを使うまえに


まずはsshでリモート接続できるか試してみてはどうでしょう
sshでのリモート接続ができないようであれば
scpコマンドはおそらく通りません

iptablesの設定は正直
実際にいじりながらではないと
この設定でOKとはいえない部分もあります

それと・・・
FTP転送ではないです
sshもscpもやりとりされるデータは暗号化されています
暗号化されているものでsftpというものも
用意されていますよ
    • good
    • 0
この回答へのお礼

saya_linux様

ご回答ありがとうございます。
TeraTarmでのSSH接続はできております。現在Rootでは繋げない設定で、ユーザーのみログインできるようになっています。IDとパスワード、そして公開鍵を利用してのログインになります。
別サーバーからSSHでつなぐ時も、公開鍵の設定などが必要なのでしょうか?
公開鍵を利用してのログインになっているので、その流れから考えると別サーバーからの接続にも公開鍵の設定が必要な感じがしますが・・・

FTP転送で無いこと理解できました。ありがとうございました。
sftpというのもあるんですね。そちらも情報を調べてみたいと思います。

お礼日時:2014/12/10 23:10

いろいろ気になるところはあるのですが


-P オプションでポート指定をしないで
省略して実行した場合は
どうなるのか試してみてほしいです
    • good
    • 1

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QIPアドレス表記の変換(iptables→ucspi-tcp tcpserver tcprules)

iptables用に使用するIPアドレス一覧を持っています。
これは1つのアドレスをあらわす表記と、ネットワークアドレスを表す一般的な「/ビット」表記が可能です。

それを、tcprules で使用するためにアドレス表記を変換したいのですが、簡易な関数やツールはありますでしょうか。

(例)
 iptables用
  192.168.0.1
  192.168.0.0/16
  192.168.0.0/18
 tcprules用
  192.168.0.1
  192.168.
  192.168.0-63.

(参考)
 http://www.emaillab.org/djb/tools/ucspi-tcp/tcprules.html

Aベストアンサー

ご希望の形式で出力されれものはないような気がします。
下記のようなコマンドイメージで実行して、その表示結果からご希望の形式に直すというのは駄目ですか?

Perl(非標準モジュール Net::CIDR使用)

○192.168.0.0/16
%perl -e 'use Net::CIDR;print join("\n", Net::CIDR::cidr2octets("192.168.0.0/16"))."\n"'
192.168

○192.168.0.0/18
%perl -e 'use Net::CIDR;print join("\n", Net::CIDR::cidr2octets("192.168.0.0/18"))."\n"'
192.168.0
192.168.1
192.168.2
192.168.3
192.168.4
192.168.5
192.168.6
192.168.7
192.168.8
192.168.9
192.168.10
192.168.11
192.168.12
192.168.13
192.168.14
192.168.15
192.168.16
192.168.17
192.168.18
192.168.19
192.168.20
192.168.21
192.168.22
192.168.23
192.168.24
192.168.25
192.168.26
192.168.27
192.168.28
192.168.29
192.168.30
192.168.31
192.168.32
192.168.33
192.168.34
192.168.35
192.168.36
192.168.37
192.168.38
192.168.39
192.168.40
192.168.41
192.168.42
192.168.43
192.168.44
192.168.45
192.168.46
192.168.47
192.168.48
192.168.49
192.168.50
192.168.51
192.168.52
192.168.53
192.168.54
192.168.55
192.168.56
192.168.57
192.168.58
192.168.59
192.168.60
192.168.61
192.168.62
192.168.63
 
Net::CIDRモジュールはCPANからダウンロード出来ます。
 

参考URL:http://search.cpan.org/~mrsam/Net-CIDR-0.10/CIDR.pm

ご希望の形式で出力されれものはないような気がします。
下記のようなコマンドイメージで実行して、その表示結果からご希望の形式に直すというのは駄目ですか?

Perl(非標準モジュール Net::CIDR使用)

○192.168.0.0/16
%perl -e 'use Net::CIDR;print join("\n", Net::CIDR::cidr2octets("192.168.0.0/16"))."\n"'
192.168

○192.168.0.0/18
%perl -e 'use Net::CIDR;print join("\n", Net::CIDR::cidr2octets("192.168.0.0/18"))."\n"'
192.168.0
192.168.1
192.168.2
192.168.3
192.168.4
192...続きを読む

Qiptables dport、sportについて

INPUTチェイン時の
dportとはサーバーのポート番号
sportとはクライアントのポート番号

OUTPUT時チェイン時の
dportとはクライアントのポート番号
sportとはサーバーのポート番号

という認識で正しいのでしょうか?

Aベストアンサー

自分=サーバーならそういうことですね。
どちらの場合でも、dport=宛先ポート、sport=送り元ポートです。

Qiptablesのデフォルトの設定(#iptables -Lの見方)

iptablesのデフォルトの設定(#iptables -Lの見方)
について教えて頂けませんでしょうか。

教えて頂きたい箇所は、デフォルトのiptablesの設定の以下★の箇所です。
====
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
★1 ACCEPT all -- anywhere anywhere
====
この★箇所は、すべてを許可しているように見えるのですが、例えば、http通信をする場合など、
なぜ追加設定が必要なのでしょうか。

<デフォルトのiptablesの設定>
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
★1 ACCEPT all -- anywhere anywhere
2 ACCEPT icmp -- anywhere anywhere icmp any
3 ACCEPT esp -- anywhere anywhere
4 ACCEPT ah -- anywhere anywhere
5 ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
6 ACCEPT udp -- anywhere anywhere udp dpt:ipp
7 ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
8 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
9 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
10 REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

お手数をおかけしますが、よろしくお願いします。

iptablesのデフォルトの設定(#iptables -Lの見方)
について教えて頂けませんでしょうか。

教えて頂きたい箇所は、デフォルトのiptablesの設定の以下★の箇所です。
====
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
★1 ACCEPT all -- anywhere anywhere
====
この★箇所は、すべてを許可しているように見えるのですが、例えば、http通信をする場合など、
なぜ追加設定が必要なのでしょうか。

<デフォルトのiptablesの設...続きを読む

Aベストアンサー

iptable -L -v

Qiptablesの設定でINPUTが制限されない

iptablesをさわっています。80番ポートのみあけたいのですが、80番以外も外部からアクセスできてしまいます。

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

FILTERNAME=CKFILTER
TARGET=CKFILTERED

iptables -A $FILTERNAME -s 58.6.0.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.6.128.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.7.0.0/16 -j $TARGET
iptables -A $FILTERNAME -s 58.14.0.0/15 -j $TARGET
iptables -A $FILTERNAME -s 58.16.0.0/16 -j $TARGET
iptables -A $FILTERNAME -s 58.17.0.0/17 -j $TARGET


iptables -A CKFILTER -j ACCEPT
iptables -A CKFILTERED -j LOG --log-prefix "Reject-TCP "
iptables -A CKFILTERED -j DROP
iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

どこが間違っているのか見つけられず困っています。

iptablesをさわっています。80番ポートのみあけたいのですが、80番以外も外部からアクセスできてしまいます。

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

FILTERNAME=CKFILTER
TARGET=CKFILTERED

iptables -A $FILTERNAME -s 58.6.0.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.6.128.0/17 -j $TARGET
iptables -A $FILTERNAME -s 58.7.0.0/16 -j $TARGET
iptables -A $FILTERNAME ...続きを読む

Aベストアンサー

> iptables -P INPUT DROP
> このあたりで閉じたことにはなっていないのでしょうか。

これはテーブルに合致しなかった場合に最後に参照されます。
外部から入ってきたSYNパケットは
iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
で CKFILTER テーブルに入ります。
CKFILTER は
iptables -A CKFILTER -s 58.6.0.0/17 -j CKFILTERED
iptables -A CKFILTER -s 58.6.128.0/17 -j CKFILTERED
iptables -A CKFILTER -s 58.7.0.0/16 -j CKFILTERED
iptables -A CKFILTER -s 58.14.0.0/15 -j CKFILTERED
iptables -A CKFILTER -s 58.16.0.0/16 -j CKFILTERED
iptables -A CKFILTER -s 58.17.0.0/17 -j CKFILTERED
iptables -A CKFILTER -j ACCEPT
となっているため、IPアドレスに合致しないものはすべて ACCEPT されます。
したがって、-P で指定したところまで届きません。
その後の通信は
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ですべて ACCEPT になります。
----
80番のみ開けたい(指定したIP以外ログを取らない)のであれば、以下のようになります。
iptables -A $FILTERNAME -p tcp --dport 80 -j ACCEPT

> iptables -P INPUT DROP
> このあたりで閉じたことにはなっていないのでしょうか。

これはテーブルに合致しなかった場合に最後に参照されます。
外部から入ってきたSYNパケットは
iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
で CKFILTER テーブルに入ります。
CKFILTER は
iptables -A CKFILTER -s 58.6.0.0/17 -j CKFILTERED
iptables -A CKFILTER -s 58.6.128.0/17 -j CKFILTERED
iptables -A CKFILTER -s 58.7.0.0/16 -j CKFILTERED
iptables -A CKFILTER -s 58.14.0.0/15 -j C...続きを読む

Qsmb.confの[printers]とiptablesの631/tcpの関係を教えてください

いろいろ試したのですが
どうもsmb.conf中に[printers]がある場合

通信制御の設定を
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp --sport 631 -j ACCEPT
としないとサンバが起動できません。
これは、あらゆるホストからのIPP要求を許可する設定なので、なんか嫌ですよね。
せめて
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --sport 631 -j ACCEPT
というようにLAN内のホストだけに許可するように設定してみたのですが、これだとサンバが起動できませんでした。

また
--dport 631とはクライアントからのIPP要求であることが読み取れますが
--sport 631とは送信元ポート番号が631ということで何の要求なのか解せません。

この問題はsmb.confを適切に設定することによって解決できるような気がするのですが
ちょっとどこを直したらいいのか分かりません。

smb.confとTCP/IPに詳しい方、助けてください~

smb.confは次のように設定してあります(関係なさそうなのは省略してます)
[global]
security = share
coding system = euc
client code page = 932
server string = ファイルサーバー
encrypt passwords = yes
create mask = 0777
directory mask = 0777
printing = cups
printcap name = lpstat

[printers]
path = /var/spool/samba/
browseable = no
guest ok = yes
printable = yes
print command = lpr -P%p -o raw %s -r

理想は
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 631 -j ACCEPT
というふうにLAN内のホストだけにIPP要求を許可する設定にしてサンバを起動できるようにしたいです。

また
iptables -A INPUT -p tcp --sport 631 -j ACCEPT
については何のために必要なのかご存知の方は教えてください

以上よろしくお願いします

いろいろ試したのですが
どうもsmb.conf中に[printers]がある場合

通信制御の設定を
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp --sport 631 -j ACCEPT
としないとサンバが起動できません。
これは、あらゆるホストからのIPP要求を許可する設定なので、なんか嫌ですよね。
せめて
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --sport 631 -j ACCEPT
というようにLAN内のホストだけに許可するよう...続きを読む

Aベストアンサー

私の、現在の理解では
tcpwrapper( 相当 ) では、
service と host が制限できる。

iptables は、更に時間とか回数なんかで制限出来る。
下記参照
http://www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html
とはいうものの、私も良く解らない。勉強中。

根拠はあまり無いが、iptables が外で
iptables の結果が、tcpwrapper の入力になり
それを通ったものが、実行されるとも考えています。
並列ではない??


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング

おすすめ情報