このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/09 01:48
名前: 石井
URL:
海外のサーバーにここのサイトを参考にさせていただき、サーバーを構築しました。
自宅、また漫画喫茶からftp接続はできました。
しかし、海外の友人に FileZilla version 3.0.11.1 で接続してもらったところ、アクセスできなかったようです。
これには、どんな原因が考えられますか?
iptables.shで DROP_COUNTRY_MAKE は設定しておりません。

iptables.sh で
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 50000:50030 -j ACCEPT
のように設定しております。

/etc/vsftpd/vsftpd.conf では
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

use_localtime=YES
pasv_addr_resolve=YES
pasv_address=ftp.abc.com
pasv_min_port=50000
pasv_max_port=50030
ssl_enable=YES
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem
user_config_dir=/etc/vsftpd/user_conf
のように設定しております。

よろしくお願いいたします。
記事編集 編集

Page: | 1 | 2 |

Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/09 12:06
名前: 石井
URL:
ペングインさん、ありがとうございます。

>海外からサーバーまで接続ができているのか

これはできていると思います。
ftp以外では、接続できているとのことです。

>tail -f /var/log/messages | grep iptables21

友人に接続してもらい、結果をみてみます。
少し時間がかかると思いますがよろしくお願いいたします。

記事編集 編集
Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/09 12:12
名前: stranger
URL: http://ja.528p.com/
FileZillaの最新バージョンは試されましたか
ftp接続ですか
ftpes(ssl接続)ですか
ftpsはうまくいかないと思う

クイック接続でなく、サイトマネージャーで接続設定をして
[転送設定]で[パッシブ]を選択していますか

FileZilla以外のftpクライアントは試されましたか
記事編集 編集
Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/09 12:18
名前: 石井
URL:
stranger 様 ありがとうございます。

>FileZillaの最新バージョンは試されましたか

最新バージョンでも接続できなかったとのことです。

>ftp接続ですか
>ftpes(ssl接続)ですか
>ftpsはうまくいかないと思う
>
>クイック接続でなく、サイトマネージャーで接続設定をして
>[転送設定]で[パッシブ]を選択していますか

再度、設定を確認して接続してもらいます。

>FileZilla以外のftpクライアントは試されましたか

FileZilla version 3.0.11.1 でしか接続できないものと思っていましたので。
他にもよいftpクライアントがあるのでしょうか?

よろしくお願いいたします。
記事編集 編集
Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/09 13:13
名前: stranger
URL: http://ja.528p.com/
windows上で日本語で良くつかわれるのは FFFTP
linuxなら gftp が有名 ただし CentOS6には含まれていない

パッシブ接続なら
linuxのnautilusからでも接続できます
ftp://サーバ名

>iptables.sh で
>iptables -A INPUT -p tcp --dport 21 -j ACCEPT
>iptables -A INPUT -p tcp -m state --state NEW --dport 50000:50030 -j ACCEPT
>のように設定しております。

上記の設定の後にACCEPT_COUTRYが働いているようなことはありませんか
JPが設定されていて範囲を狭めているとか
記事編集 編集
Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/10 11:19
名前: 石井
URL:
Host, Servertype(FTPES), Logontype(Normal), User, Password, Transfer mode(Passive)
すべて正しく設定してアクセスしても "could not connect to server" とでて接続できないようです。

>上記の設定の後にACCEPT_COUTRYが働いているようなことはありませんか
>JPが設定されていて範囲を狭めているとか

最初は ACCEPT_COUNTRY も入れていたのですが、現在は DROP_COUNTRY ACCEPT_COUNTRY ともにはずしています。iptables -L -n の結果は以下です。

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 LOG flags 0 level 4 prefix `iptables21'
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpts:60000:60030

># grep iptables21 /var/log/messages>
>でもOKです。

下記の結果が出ました。

Nov 9 07:55:50 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.128 DST=xx.xx.xx.163 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=50878 PROTO=TCP SPT=31879 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 9 07:55:50 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.128 DST=xx.xx.xx.165 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=50255 PROTO=TCP SPT=31879 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 9 07:55:50 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.128 DST=xx.xx.xx.167 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=26515 PROTO=TCP SPT=31879 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 9 07:55:50 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.128 DST=xx.xx.xx.162 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=25453 PROTO=TCP SPT=31879 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 9 07:55:50 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.128 DST=xx.xx.xx.164 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=62185 PROTO=TCP SPT=31879 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 9 07:55:50 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.128 DST=xx.xx.xx.166 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=22267 PROTO=TCP SPT=31879 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 9 12:57:01 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xxx.xxx.xxx.149 DST=xx.xx.xx.162 LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=22946 PROTO=TCP SPT=63980 DPT=21 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 9 12:57:06 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xxx.xxx.xxx.149 DST=xx.xx.xx.162 LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=22960 PROTO=TCP SPT=63981 DPT=21 WINDOW=8192 RES=0x00 SYN URGP=0
Nov 9 12:57:10 ABC kernel: iptables21IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xxx.xxx.xxx.149 DST=xx.xx.xx.162 LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=22968 PROTO=TCP SPT=63982 DPT=21 WINDOW=8192 RES=0x00 SYN URGP=0

よろしくお願いいたします。
記事編集 編集
Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/11 19:47
名前: ペングイン
URL: http://blog.trippyboy.com
石井さん

お疲れ様です。確認ありがとうございます。

気になった点ですが、iptablesで記録されている21番ポートへのアクセスですが、
接続先が異なるように見受けられます。

接続先:
回数 Destination
4 DST=xx.xx.xx.162
1 DST=xx.xx.xx.167
1 DST=xx.xx.xx.166
1 DST=xx.xx.xx.165
1 DST=xx.xx.xx.164
1 DST=xx.xx.xx.163

また、接続元は2箇所記録されているようです。
回数 Source
6 SRC=xx.xx.xx.128
3 SRC=xxx.xxx.xxx.149

FTPサーバーが動いているサーバーのIPアドレスは上記「接続先」に含められる
すべてのIPアドレスなのでしょうか? DSTが異なったログが出力されているのが
ちょっと気になります。固定IPアドレスではない感じでしょうか。

もし、接続元情報の2IPアドレスのうちどちらかが、該当の海外で利用しているIP
アドレスであるということが確認できた場合

該当の海外の拠点のLAN環境では外向きの21番ポートが許可されている事がわかります。

「pasv_address=ftp.abc.com」の記述を固定IPアドレスにしてみてどうなるでしょうか。

マンガ喫茶からは接続できて、異なる環境(海外)からの接続ができないとなるとどこかで
制限がされていそうです。サーバー側の制限ではないことを切り分けるために
iptablesを止めてみて・・・ と私なら試したいのですが、もし海外の接続元とIPアドレス
が分かれば、そのsourceからのみの接続を全て許可するなどで問題の切り分けが出来るかも
しれません。

21番ポートでの接続は届いているようですので、サーバー側での制限の可能性が
大きいかと思います。

以上です。



記事編集 編集
Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/12 12:03
名前: 石井
URL:
>気になった点ですが、iptablesで記録されている21番ポートへのアクセスですが、
>接続先が異なるように見受けられます。

GATEWAY が xx.xx.xx.161 で
同じサーバー上で nicを書き換え xx.xx.xx.162〜167 に分けております。

ftpで接続してもらう人には、ホームディレクトリより上層へのアクセスができないユーザに指定して xx.xx.xx.167 上のファイルしかいじれないようにしています。

この場合、pasv_address=xx.xx.xx.167 にするべきでしょうか?

よろしくお願いします。
記事編集 編集
Re: 海外からftp接続できないようです。 このメッセージに返信する
日時: 2011/11/12 12:44
名前: ペングイン
URL: http://blog.trippyboy.com
石井様

>GATEWAY が xx.xx.xx.161 で
>同じサーバー上で nicを書き換え xx.xx.xx.162〜167 に分けております。

xx.xx.xx.161 に対してきたFTP接続は、どのIPアドレスに振り分けられるようになっているのでしょうか。

インターネット-->WAN側IP------->LAN?他外部サーバー?
------海外------>xx.xx.xx.161-->xx.xx.xx.167

Web閲覧は出来るということですが、Web閲覧に関しては162〜167で負荷分散されているのでしょうか。
そうなると、xx.xx.xx.161にきた21番ポートはxx.xx.xx.167へという設定をしてあげるなど
の設定が必要になりそうです。でもそうなると、162〜166へFTP接続したいときに困っちゃいますね。

であれば、xx.xx.xx.162〜167 の数だけホスト名をDNSに追加し、名前解決先を
GATEWAYのxx.xx.xx.161にして、GATEWAYサーバー上で、接続先ホスト名を判別して
別々のサーバーにFTP通信を分けてあげる必要がありそうです(出来るかやったことありませんが)。
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -