- PR -

ftpコマンドのPASVモードについて

1
投稿者投稿内容
やいば
常連さん
会議室デビュー日: 2002/06/21
投稿数: 30
お住まい・勤務地: 神奈川県/東京都
投稿日時: 2002-07-04 12:01
お世話になります。
TurboLinux7 Server(以下TL7)をいつも利用しているのですが、このTL7で
turbopkgというコマンドにてパッケージのアップデートを行っております。

過日、L3スイッチにてアクセスコントロールリスト(以下ACL)を定義し、不必要な
ポートを閉じたのですが、お陰でturbopkgコマンドにてRPMパッケージが置いてある
サイトに接続できなくなってしまいました(コントロールコネクションが確立でき
ない→任意のポートで接続できないため、当たり前にこのような事態が発生‥)。

L3スイッチ及びTL7をインストールしてあるサーバは社内で管理しているほかに、
顧客の大事なホスティングサーバも置いてありますので、件のACLを生半可に修正
することは不可能です。

そこで、PASVモードにて通信できれば問題ないかと思い、ftpがデフォルトでPASV
モードになるようにするためにはどうすればいいか、インターネット上で文献を
探していたのですが、どうしても見つけることが出来ません。

お知恵を拝借したいと思い、この場をお借りしました。
これを実現したい理由は、社内のネットワーク・サーバ管理者として入社してくる
後続の人間に対して、作業の敷居を低くしたいという理由からです。
どなたか良い方法をご存じでしたら、お教え願います。

以上よろしくお願いします。

_________________
+ やいば -
- http://wire.cside.to/ +
yoka
常連さん
会議室デビュー日: 2002/04/09
投稿数: 29
投稿日時: 2002-07-04 13:27
私はふつうに ftp できる環境でしか利用したことがないのですが、どうも turbopkg はプロキシを指定してもダメみたいなので、PASV モードに対応した ftp ソフトで対象ディレクトリをミラーしておいて、そのディレクトリを turbopkg でローカルファイルとして指定すればよいのではないでしょうか?

http://www.turbolinux.co.jp/dcforum/DCForumID11/3122.html
http://www.google.co.jp/search?q=turbopkg+site%3Aturbolinux.co.jp&hl=ja
ふじい
大ベテラン
会議室デビュー日: 2002/05/07
投稿数: 123
お住まい・勤務地: 東京
投稿日時: 2002-07-04 14:21
こんにちは、藤井と申します。

引用:

やいばさんの書き込み (2002-07-04 12:01) より:
そこで、PASVモードにて通信できれば問題ないかと思い、ftpがデフォルトでPASV
モードになるようにするためにはどうすればいいか、インターネット上で文献を
探していたのですが、どうしても見つけることが出来ません。

お知恵を拝借したいと思い、この場をお借りしました。
これを実現したい理由は、社内のネットワーク・サーバ管理者として入社してくる
後続の人間に対して、作業の敷居を低くしたいという理由からです。
どなたか良い方法をご存じでしたら、お教え願います。


yokaさんがすでにお答えになっていますが、方法はいくつかあると思います。

今後の方向性としてはturbopkgの対応を待つというのが無難でしょう。

TurboLinuxを使っていないので、詳しくはわかりませんが、L3スイッチでのACLというのでどうにかするというのはできないのでしょうか?

ところで、L3スイッチって、ネットワークレイヤ以上の層のルーティンをするスイッチングHUBということでしょうか?

というのも、今回の件に限っていうと、具体的には外側への20ポートからの接続を許可しないようにしているわけですね。

その辺のフィルタリングを適切に処理するようにすれば、後々いろんな問題もないと思います。社員の各々のFTPソフトの設定を全部PASVにするというのも、大変だと思いますから、基本的にPORTモードでの接続も可能にしてたほうがいいのではないでしょうか?

ステートフル パケット インスペクションに対応しているかどうかというもありますが。

あとはやはりyokaさんがおっしゃっているようにローカルにミラーして、turbopkgがそこを見に行くようにするのが無難ですね。
やいば
常連さん
会議室デビュー日: 2002/06/21
投稿数: 30
お住まい・勤務地: 神奈川県/東京都
投稿日時: 2002-07-04 21:48
yokaさん、藤井さん、こんばんは。

yokaさんから教えていただきました、TurboLinuxユーザーフォーラムスレッド
中に、lftpに関する記述がありましたので、それを利用してみました。

すると、

コード:
[root@segment update]# lftp
lftp :~> set -a | grep ftp:passive-mode
set ftp:passive-mode on
lftp :~> debug 4
lftp :~> open ftp://ftp.iij.ad.jp/pub/linux/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/
---- Resolving host address...
---- Connecting to ftp.iij.ad.jp (202.232.2.51) port 21
<--- 220 ftp0.iij.ad.jp FTP server ready.
<--- 331 Guest login ok, type your name as password.
<--- 230 Guest login ok, access restrictions apply.
<--- 257 "/" is the current directory.
<--- 250 CWD command successful.
cd ok, cwd=/pub/linux/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS
lftp ftp.iij.ad.jp:/pub/linux/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS> mirror
<--- 227 Entering Passive Mode (202,232,2,51,218,184)


この最後の1行の後に、
Getting directory contents (0) [Making data connection...]
という表記が出てピタリと通信が止んでしまうので、業務を引き継いでいる最中(実は
この会社が7月末までなので‥)のネットワーク管理者へ聞いてみたところ、

「ACLにて、内部のセグメントから外部(internet)への通信にも、
 特定のポート以外は閉じてあります」

との返答をいただきました(とほほ‥)。
これではPASVモードでつながるべくもなく、ACLの書き換えも件のL3スイッチを購入
したベンダさんに頼んでいるので、後日対応ということになりました。
お願いする内容は、「内部セグメント内にあるLinuxサーバのみ、外部への通信に
利用するポートの制限をしない」というものです。

ACLの書き換えが終わり、turbopkgにてローカルのディレクトリを参照してパッケージの
アップデートが出来たら、またこのスレッドにて連絡させていただきます。
yokaさん、藤井さん、お返事有り難う御座いました(^-^)/。

(ちなみに、ウチで利用しているL3スイッチはSummit48iという代物なのですが、
ステートフル・インスペクションに対応していないようです‥いやはや)

_________________
+ やいば -
- http://wire.cside.to/ +
やいば
常連さん
会議室デビュー日: 2002/06/21
投稿数: 30
お住まい・勤務地: 神奈川県/東京都
投稿日時: 2002-07-04 21:53
L3スイッチは、Layer-3レベルでのルーティングが行えるスイッチです。
FTPのセッションを行う際、20番ポートの開放が必要という認識がネットワークの
技術スタッフに欠けていて、ひやりとした一瞬がありました。
(もちろん、ベンダさんにお願いして開放していただきました)

社内での技術レベルの底上げはやはり難しいです‥。
(自分も精進せねば!)

お二方、本当にありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)