お勧めFTPソフト
LAN内でしか実験してなかったから気付かんかったが、
FTPのSSL化には以下の問題もあるな...
(NATルータ内でないサーバは関係無いが)
NAT内LANにサーバ/クライアントが有る場合、PASV/PORT
の際はプライベートIPが送信される。賢いNATはパケット内
をいじってグローバルIPに勝手に改変し、結果接続できる。
(NAT内サーバのPASV返答を改変できない民生NATは多いが)
だが、SSL内でPASV/PORTが送信されても暗号化されている
のでグローバルに変換不能である。(またポート990へ繋いだ
場合は、それ以前にFTPとすら認識されない?)
よって、NAT内クライアントからのSSLによるのPORT発行は
失敗するだろう。またNAT内サーバからのSSLによるPASV返答
も、以下の方法を使わない限り同様に失敗するだろう。
解決策は、NAT内サーバがPASVに対し「ローカルでありな
がらグローバルIPを返す」事であるが、そのような仕組みが
無いサーバでは無理である。
実装例)
ProFtpdの場合:
"MasqueradeAddress ftp.HOGE.dyndns.org"
要は、PASVに対し「指定IP」を返すように指示するワケだ。
こういう機能があるFTPサーバ他にあったら教えてほしい。
Win用/SSL対応に限らず。
(ProFtpd@Cygwinまだまだ不全が多いし、さて、、)
FTPのSSL化には以下の問題もあるな...
(NATルータ内でないサーバは関係無いが)
NAT内LANにサーバ/クライアントが有る場合、PASV/PORT
の際はプライベートIPが送信される。賢いNATはパケット内
をいじってグローバルIPに勝手に改変し、結果接続できる。
(NAT内サーバのPASV返答を改変できない民生NATは多いが)
だが、SSL内でPASV/PORTが送信されても暗号化されている
のでグローバルに変換不能である。(またポート990へ繋いだ
場合は、それ以前にFTPとすら認識されない?)
よって、NAT内クライアントからのSSLによるのPORT発行は
失敗するだろう。またNAT内サーバからのSSLによるPASV返答
も、以下の方法を使わない限り同様に失敗するだろう。
解決策は、NAT内サーバがPASVに対し「ローカルでありな
がらグローバルIPを返す」事であるが、そのような仕組みが
無いサーバでは無理である。
実装例)
ProFtpdの場合:
"MasqueradeAddress ftp.HOGE.dyndns.org"
要は、PASVに対し「指定IP」を返すように指示するワケだ。
こういう機能があるFTPサーバ他にあったら教えてほしい。
Win用/SSL対応に限らず。
(ProFtpd@Cygwinまだまだ不全が多いし、さて、、)
|
|
|
422 :名無しさん@お腹いっぱい。:02/05/04 11:28 ID:???
423 :名無しさん@お腹いっぱい。:02/05/04 12:58 ID:???
>422
「可変IP + DynamicDNS + NAT内FTPサーバ」の場合、
「クライアント接続時に"DynamicDNSでのFQDN"を正引き
して得たグローバルIP」をPASVに対し返答する、という
機能がないとダメ。回線が切断してIPが変わる可能性が
あるから。(こんな機能が実在するかは知らんが。。)
RaidenFTPdのページに、
www.raidenftpd.com/en/raiden-ftpd-doc/howto-runserver-after-nat-jpn.html
> 4) .ftpdファイルを開き、"SERVER_IP="の所をあなたのグローバルIPにします
とあるが、IPじゃなくFQDNが書けないとダメなんだが、
実際どうなのか? (仮にFQDNが書けたとして、接続毎
に引いてくれる必要あり)
この機能が無いとNAT内FTPサーバのSSL化は難しい。
SSLではデータが暗号化され、NAT内クライアントが発行
するPORTコマンドのプライベートIPをNATが改変不可ゆえ
PASVモードを使うしかなく、サーバ側での対応が必須。
「可変IP + DynamicDNS + NAT内FTPサーバ」の場合、
「クライアント接続時に"DynamicDNSでのFQDN"を正引き
して得たグローバルIP」をPASVに対し返答する、という
機能がないとダメ。回線が切断してIPが変わる可能性が
あるから。(こんな機能が実在するかは知らんが。。)
RaidenFTPdのページに、
www.raidenftpd.com/en/raiden-ftpd-doc/howto-runserver-after-nat-jpn.html
> 4) .ftpdファイルを開き、"SERVER_IP="の所をあなたのグローバルIPにします
とあるが、IPじゃなくFQDNが書けないとダメなんだが、
実際どうなのか? (仮にFQDNが書けたとして、接続毎
に引いてくれる必要あり)
この機能が無いとNAT内FTPサーバのSSL化は難しい。
SSLではデータが暗号化され、NAT内クライアントが発行
するPORTコマンドのプライベートIPをNATが改変不可ゆえ
PASVモードを使うしかなく、サーバ側での対応が必須。
424 :名無しさん@お腹いっぱい。:02/05/04 16:06 ID:???
だから実際その環境で運用できてるんだってば。
あらかじめ設定ファイルに自分のマシンのFQDNを設定しておくと
ftpサーバがその都度DDNSサービスのDNSサーバに問い合わせに
いってグローバルIPを取得してそいつをクライアントへ通知してる。
てか、無料で機能制限無しに試用できるから、
試してみたらどうでしょう。
ヘルプ読むだけより確実。
あらかじめ設定ファイルに自分のマシンのFQDNを設定しておくと
ftpサーバがその都度DDNSサービスのDNSサーバに問い合わせに
いってグローバルIPを取得してそいつをクライアントへ通知してる。
てか、無料で機能制限無しに試用できるから、
試してみたらどうでしょう。
ヘルプ読むだけより確実。
425 :名無しさん@お腹いっぱい。:02/05/04 16:16 ID:???
言い忘れてたけど、ヘルプの記述内容が若干古くて、
最新バージョンでは設定ファイルに
"DYN_IP_HOST="行があって、そこに自分のマシンのDDNSのFQDN
を設定可能になってる。ここに登録してやると一々問い合わせに行ってる
模様。
最新バージョンでは設定ファイルに
"DYN_IP_HOST="行があって、そこに自分のマシンのDDNSのFQDN
を設定可能になってる。ここに登録してやると一々問い合わせに行ってる
模様。
426 :名無しさん@お腹いっぱい。:02/05/04 18:25 ID:???
>425
ありがと。その機能で間違い無さそう。
ありがと。その機能で間違い無さそう。