[33510]  IPマスカレードについて教えてください
投稿者:55 さん   2002-06-10 23:17:50
いつもお世話になってます。
いま、Windows2000サーバでFTPサーバを構築しているのですが、うまくいかないことがあり、書き込みさせていただきました。
ブロードバンドルータを使用していてルータのWAN側のIPがグローバルIPで、ルータの機能でバーチャルサーバーという機能を
使ってLAN側のサーバをWAN側に公開できるとのことで試しにやってみたのですが
うまくいきません。

WAN側のIPが211.200.111.25(仮)でLAN側のサーバのIPが201.100.251.15で
ポートが21で、ftp 211.200.111.25 で実行すると 211.200.111.25を201.100.251.15
に変換してFTPできるかなと思ったのですが、ダメでした。

うまく説明できなくて申し訳なにのですが、ご教授のほどお願いいたします。
  1. 55 さん   2002-06-10 23:19:30
    すみません、使用しているルータはコレガのBAR SW-4Pです。
    CPUはデュロン700でマーザはA7Vです。
  2. よねよね さん   2002-06-11 06:44:14
    ftpクライアント側の設定で、PASVモードにしてもダメでしょうかね?
  3. BlackBox さん   2002-06-11 07:20:13
    LAN側のIPはプライベートIPですよね?
  4. よねよね さん   2002-06-11 11:14:16
    あ、もしくは、PASVモードにはせずに、バーチャルサーバ機能でポート20も指定するとどうでしょう?
  5. SARAYA さん   2002-06-11 15:37:52
    BAR SW-4Pを使用してFTPのバーチャルサーバは構築可能です。

    バーチャルサーバのPort指定は20,21両方ともサーバに向ける
    サーバのデフォルトゲートウェイがルータのアドレスに向いている

    外部からのアクセスはPASVモードにする。

    となるかと思います。

    ===========[SW-4P]=======[サーバ]

    ルータWAN側 133.133.133.254
    ルータLAN側 192.168.100.254
    サーバ    192.168.100.100

    バーチャルサーバ設定
    WAN-Port20 LAN-Port20 宛先 192.168.10.100
    WAN-Port21 LAN-Port21 宛先 192.168.10.100

    サーバ
    IP   192.168.100.100
    DefG/W 192.168.100.254
  6. 55 さん   2002-06-12 00:28:55
    みなさん、ありがとうございます。
    SARAYAさんの教えてくれたように設定いたしましたが、うまくいきません。
    windowsのFTPサイトの設定に問題があるのでしょうか?
    たのパソコンから(ローカル)はFTPできます。
  7. よねよね さん   2002-06-12 03:35:20
    PASVモードをオフにしてもダメなのでしょうか?

    ところで、いわゆる IPマスカレードを利用して ftpサーバを立てるとすると、

    ●PASVモードの場合
    1. WAN上の ftpクライアント → ルータのポート21 → ftpサーバのポート21
    2. 同じくクライアント → ルータの任意のポートXX → サーバの同じポートXX

    の通信が発生します。
    1.はバーチャルサーバ機能そのものですが、問題は「2.で XXが毎回変わること」でしょうか...
    ftpサーバかクライアントの設定で、この XXを固定することが可能でしたら、あとはバーチャルサーバ機能に XXも追加してやれば OKです。もしくは、固定できなくても、この XXを自動的に変換してくれるタイプのルータなら OKなのですが。
    (ただ、2.で WAN → LANの口をもう 1つ空けておきますので、セキュリティ上の問題が懸念されますが)

    ●PORTモードの場合
    1. WAN上の ftpクライアント → ルータのポート21 → ftpサーバのポート21(これは同じ)
    2. サーバのポート20 → ルータの任意のポートYY → クライアントの同じポートYY

    になります。
    やはり、2.で YYが毎回変わるのが問題になります。これを同様に固定できるか、もしくはルータがこの YYを自動で変換してくれるタイプのものでないと、PORTモードでの ftpも不可能です。

    ということで、ftpサーバを公開するのは結構難しい気がするのですが...
    XXのポートを指定できるような ftpサーバ(IISごときは所詮...なので)か ftpクライアント(手もとの NextFTPでは可)を使うか、最悪(セキュリティ的に危険なので)、DMZ設定で ftpサーバを公開すれば、可能になると思うのですが。
  8. Tambo さん   2002-06-12 10:31:16
    ルータのポート21とかを閉じたままにしてあるとかないですか。
  9. SARAYA さん   2002-06-12 11:53:58
    んーなんだろ?

    ちなみにウチはルータにSW-4P、FTPサーバはWar-FTPを使用しています。

    ・フィルタリングで該当Portが禁止にしていないか
    ・設定後ルータを再起動させたか

    くらいですかねぇ?

    ちなみに ローカル側のクライアントからWAN側のIPを指定しても
    うまく転送されなかったはずです。

    #検証する場合は完全に別の回線なりから(WANの外から)FTP実験する必要があります。
  10. よねよね さん   2002-06-12 13:44:04
    なんかちょっと、変なことを書いていたので訂正です。
    以下の設定でうまくいかないでしょうか?

     1. バーチャルサーバ機能で、ルータのWAN側のポート21 → ftpサーバのポート21を設定する
     2. WANの任意のマシンの任意のポート → ftpサーバのポート21へのアクセスを許可する
     3. ftpサーバのポート20 → WANの任意のマシンの任意のポートへのアクセスを許可する
     4. PASVモードではなく、PORTモードにする

    ということで、4.の設定は大丈夫でしょうか?
  11. 雷獣王GRIFFON さん   2002-06-15 00:26:51
    # こっちに書くのは久しぶりだなぁ

    >うまくいきません。
    まず切り分けを行って見ましょうか.
    おそらく Windows の FTP コマンドを使っていると思いますが,とりあえずルーター越しに ftp コマンドでつなげてみます.
    ここでログインプロンプトまで出てこなかったらルーターの設定の問題あるいは鯖の設定の問題.
    次に,無事ログインは出来ても ls コマンドの結果が返ってこない場合は,ただ単に PASV モードになっていないから.
    この場合は PASV モードをサポートした FTP クライアントをゲットしてきましょう.
    # FFFTP とか.

    ルーターの設定は,20番と21番をサーバーに届くように設定してください.
  12. 55 さん   2002-06-15 16:49:12
    皆さんありがとうございます。
    土日で皆さんが教えを参考に設定をおこないます。