はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

 FTPサーバー 通信不可
日時: 2006/04/17 20:49
名前: root

 こんばんわ
お助け下さい!

手順どおりvsftpdを構築したのですが、なぜかWAN側から接続できません・・
ポートは20・21番を空けております。

何度設定は当サイト様と照らし合わせて確認させてもらいましたが間違いはありませんでした

エラー的にはWinのコマンドプロンプトにて出るのですが、

アドレスを入れた所で
To xoxo-server.homeip.net
Connected to xoxo-server.homeip.net.
421 Service not available.
User (jm-server.homeip.net:(none)): taro
Connection closed by remote host.

と出て接続ユーザーまで選べません。


環境的には FC5 2.6.16-1.2080_FC5smp
SELINUXもファイアーフォールもディセーブルです

前に何度もvsftpは構築して成功しておりますので問題はないはずなのですが

ちなみにLAN側は問題なく接続できます。

私のWAN側IPは221.xxx.xxx なのですがこれも許可してあります

どうかお気づきの点がありましたら宜しくお願いします

■ コンテンツ関連情報

 Re: FTPサーバー 通信不可 ( No.1 )
日時: 2006/04/17 21:15
名前: 管理者

「/etc/hosts.allow」と「/etc/hosts.deny」が誤っていませんか?
また「iptables」を設定しているとか・・

または、パッシブモードを有効にしていてそのポートを空けていないとか??
 Re: FTPサーバー 通信不可 ( No.2 )
日時: 2006/04/17 22:26
名前: root

管理者さん こんばんわ

コメントありがとうございます

まず、/etc/hosts.allow はログインできる!ユーザーを記述する所ですよね?
そこへは私のログインするつもりのユーザー(taro)を記述しております。

それとパッシブモードはコマンドプロンプト・あるいはInternetブラウザから直接
ftp://www.xoxo.homeip.net を打ち込み入り込む時にはポートを空けておく(50000+50030)必要は
あるのでしょうか? 私の中ではご紹介いただいていたFFFTPを使わない限りいらないかなと解釈して
おります。 
それと、試しに /etc/hosts.deny 内のvsftpd : ALL を削除してみますとコマンドプロンプトにては
問題なく接続できました。 が、ブラウザでは探しているようでしたが見つかりませんと出て
入りきる事は出来ませんでした

これはもしかしてallowの僕の思い違いでしょうか?

どうかお手数おかけしますが宜しくお願いします。
 Re: FTPサーバー 通信不可 ( No.3 )
日時: 2006/04/17 22:38
名前: 管理者

> まず、/etc/hosts.allow はログインできる!ユーザーを記述する所ですよね?
> そこへは私のログインするつもりのユーザー(taro)を記述しております。

ユーザを記述する所ではありません。

プロセス(デーモン名)に対して、接続を許すホスト(IP)名を指定します。
例えば、211.abc.def.cfgとネットーワーク部192.168.1.nnn(nnnは0〜255:正確には1〜254)を許す場合
下記の様に指定します。(下記xxxはデーモン名)

xxx : 211.abc.def.cfg 192.168.1.

よって、vsftpdに上記IPを許す場合は、下記の様に指定します。

vsftpd : 211.abc.def.cfg 192.168.1.
 Re: FTPサーバー 通信不可 ( No.4 )
日時: 2006/04/17 22:45
名前: root

 すみません間違えておりました!

私の場合ですと

vsftpd : 192.168.0. 127.0.0.1 211.xxx.xxx.xxx 221.xxx.xxx.xxx

と追記しております。

許可させるユーザーは vi /etc/vsftpd/chroot_list へ記述しておりました

大変初歩的な説明ミス申し訳ないです!
 Re: FTPサーバー 通信不可 ( No.5 )
日時: 2006/04/17 22:54
名前: 管理者

了解しました。

> 許可させるユーザーは vi /etc/vsftpd/chroot_list へ記述しておりました
正確には、ログインパス以上、上に行かせない設定リストです。


ちょっと思い出せないのですが、ブラウザ上でのftpプロトコルは、「dataポートが変更されて通信される」と見た覚えがあります。
(すみません。もしかしたら勘違いかもしれません。)

一度、パッシブモードを無効にして接続してみて下さい。

「/etc/vsftpd/vsftpd.conf」
pasv_promiscuous=NO
#pasv_min_port=50000
#pasv_max_port=50030
 Re: FTPサーバー 通信不可 ( No.6 )
日時: 2006/04/18 01:01
名前: root

何度も本当に申し訳ありません。

パッシブモードもNOにして試してみましたが、やはりダメです・・・
ユーザー入力まで行くのが不思議ではありますが・・・
普通、通信状態の問題でしたらUser名を入れるところまでいきませんもんね

 Re: FTPサーバー 通信不可 ( No.7 )
日時: 2006/04/18 06:54
名前: 管理者

上記状態では、FFTPやDOSコマンドのFTPでは問題ないんですよね?

> ユーザー入力まで行くのが不思議ではありますが・・・
> 普通、通信状態の問題でしたらUser名を入れるところまでいきませんもんね

そうとは限りませんよ。
FTPプロトコルは、コントロール(21)とデータ(20)を使用するので、User名等は21を使用します。
データ一覧取得や、GET・PUTのデータ送受信時に20で行います。

当方が疑っているのはパッシブモード時のポート導通とクライアントのウィルス検知ソフト、ルータと考えているのですが・・・
 Re: FTPサーバー 通信不可 ( No.8 )
日時: 2006/04/18 07:27
名前: 管理者

そう言えば、WindowsのFTPはパッシブモードが未対応だったはずです。
 Re: FTPサーバー 通信不可 ( No.9 )
日時: 2006/04/18 08:05
名前: root

現在の状態ではWindowsのコマンドプロンプト(WAN側)からしか試しておりませんが、
/etc/hosts.deny 内のvsftpd : ALL を外せば接続できる状態です。

それともしやと思いポート確認サイトで確認してみた所、/etc/hosts.deny 内のvsftpd : ALL を
つけた状態ですとポート20番が開いていません。 21は問題なく空いているのですが。。

前の使えた状態の時からポートは開けっ放しですので設定に間違いはないと思いますし、再度削除し
もう1度21を開けてみましたがどうしてもポートが開放されません。

前にWEBサーバー側の設定を間違えた時もポートは閉まっている状態になっていましたのでサーバー側の
設定だと思うのですが、いつもと同じ手順でやっておりますので間違いはないと思うのですがね。。。

 Re: FTPサーバー 通信不可 ( No.10 )
日時: 2006/04/18 10:26
名前: root

 管理者さんごめんなさい!

たった今、原因の1つがわかりました!
どうも私の管理者様のありがたいHPの説明の見方(解釈の仕方)がおかしかったようです
/etc/hosts.allow 内の記述ですが私の場合

vsftpd : 192.168.0. 127.0.0.1 211.xxx.xxx.xxx 221.xxx.xxx.xxx

と、ご説明しましたが、ようは本当にそのままです
ようは xxx.xxx としている箇所ですが、本当にエックスと入れておりましす。
私はこれを頭が211 もしくは221で始まる物すべてを許可する という風に解釈しておりましたが、
vi /etc/hosts.deny内のvsftpd:ALLを省くと繋がるという事はやはり/etc/hosts.allow内の問題くらいしか
考えられませんでしたので修正(221.xxx.xxx.xxxを 221.としました)しましたところ、無事に
接続できました! 本当に申し訳ない。。。

ですがそこで疑問が残りますのが、私の環境はWAN側は固定ではありませんのでたまにIPアドレスが
変わってしまいます。 そのような場合、私は今回無理やり221. だけの記述にしましたが
これが1番ベストな方法なのでしょうか? あまりIPの事には詳しくはないのですが、頭のIPが
221以外に変わる事はないのでしょうか? 私のプロバイダー(YBB)の場合、幸い今までには
ケツの番号が変わったのしか見た事ないですが、やはり環境・もしくはその時によって
変化するIPの番号はさまざまなのではと思いまして

それともう1つ解決しない問題があります。
それはこの件を調べていてわかった事なのですが、なぜか私のルーターでは20ポートと21ポートを同時に
あける事ができません。 アドレス変換設定の箇所では確かに設定はできるのですが、
なぜかポート開放確認サイトにて確認すると、後から登録した方側のポートが閉まっています。
登録しなおしても後からの方が必ず閉まります。
しかし、うろ覚えですが、前に開けたての頃にすぐに確認した時には2つとも開放されていたような気もします。

これも何かサーバー側の設定のおかしいところがあるという事でしょうかね?? 

 Re: FTPサーバー 通信不可 ( No.11 )
日時: 2006/04/18 11:02
名前: root

それともう1つ不思議な事に、ポート確認サイトにて判明したのですが、
使ってもいないし開けてもいないのになぜかポート23番(Telnet)が開放されております;

アドレス変換画面にはそんな物、出ていないのに・・・

例えばですが、どうしても20~21番が開放できませんので、サーバー側でFTPのポートを任意に変更する
事は不可能なのでしょうか? 
 Re: FTPサーバー 通信不可 ( No.12 )
日時: 2006/04/18 11:46
名前: 管理者

> 私の環境はWAN側は固定ではありませんのでたまにIPアドレスが
> 変わってしまいます。 そのような場合、私は今回無理やり221. だけの記述にしましたが
> これが1番ベストな方法なのでしょうか? あまりIPの事には詳しくはないのですが、頭のIPが
> 221以外に変わる事はないのでしょうか? 私のプロバイダー(YBB)の場合、幸い今までには
> ケツの番号が変わったのしか見た事ないですが、やはり環境・もしくはその時によって
> 変化するIPの番号はさまざまなのではと思いまして


固定IPアドレスの場合であれば、IPアドレスを指定する方法がベストですが
ドメイン名で指定することも可能です。(ただし接続元がドメイン登録されている事)

外部(接続元)が動的IPでも、名前解決できるドメイン名(ホスト名)であれば可能です。

例)接続元のドメイン名が「hogehoge.com」であった場合

 vsftpd : 192.168.1. 127.0.0.1 hogehoge.com


もし、ドメイン名を持っていない場合は、IPで指定せざるをえなくなります。
しかし、「221.」だけだと、殆ど開放的になってしまうので余りよろしくありません。

接続元のIPでISPが保有しているIPアドレスの範囲でかける方法もあります。
しかし、この方法だと接続元がそのISPユーザであれば誰でも接続可能となってしまいますが・・・・


ご質問の「221以外に変わる事は・・・」は、ISPが保有しているIP範囲によります。
よって、変わる事も当然ありえる事になります。


> 例えばですが、どうしても20~21番が開放できませんので、サーバー側でFTPのポートを任意に変更する
> 事は不可能なのでしょうか? 

試した事がないので、参考程度にお考え下さい。
コントロールポートを「listen_port」で指定して、パッシブにて(min・max)を同ポートにする。

例)コントロール(10021)・データ(10020)
「vsftp.conf」
listen_port=10021
pasv_min_port=10020
pasv_max_port=10020

※:ポート番号は1024〜65535の範囲でなければなりません。
 Re: FTPサーバー 通信不可 ( No.13 )
日時: 2006/04/18 12:49
名前: root

なるほどぉ〜 それではサーバーだけではなく接続する(自宅など)にもドメイン名を取ってきた方が
無難という事ですね。。。
あ” そうなると私はWEBサーバー用(知り合いなど用)のアップ目的のためにFTP構築ですが、その場合、
複数の方にWEBスペースを貸す場合、その都度相手のアドレスを追加しなくてはいけないって事ですよね?
そこら辺はどうなのでしょう・・


 念ために自宅のルーター(メーカー違い)で20番が開けれるかどうか試してみました
結果、なぜか20番だけは開放する事ができませんでした。

これって何かの仕様なのでしょうか・・・

しかし改めて管理者さんの話を聞いておりますと、私の場合、FTPはWEBサーバーのため(ユーザー用)の
構築ですのでアップロード専用使用目的なのでよくよく考えますと、20番を使わなくてもパッシブモードで
Web制作ソフト設定して使えばいいような気がしてきました。
パッシブモードも今ネットにてどんな物なのか調べましたが、2重Securityのような感じなのはわかりましたし
たとえパッシブモードでWEBサーバーのために構築しておいてもコマンドプロンプトでも問題なくしようできそうですし

無理に20番を開けようとしなくてもいいのではと感じました。

でもやはりブラウザからは無理ですね

それともう1つなのですが、21番を開ける事によってコマンドプロンプトも使えますしget putも問題なく使用できました。 で、そこで疑問なのですが、20番は何のために開けておくものなのでしょうか?

今の所ブラウザでの展開くらいしか問題はありませんのでそれに関係しているのでしょうか??
どうか宜しくお願いします。
 Re: FTPサーバー 通信不可 ( No.14 )
日時: 2006/04/18 14:54
名前: 管理者

> あ” そうなると私はWEBサーバー用(知り合いなど用)のアップ目的のためにFTP構築ですが、その場合、
> 複数の方にWEBスペースを貸す場合、その都度相手のアドレスを追加しなくてはいけないって事ですよね?
> そこら辺はどうなのでしょう・・

他人にWebスペースを貸し出す場合などで、その接続元を限定する事はあまり聞いた事がありません。
接続Freeにしておいて、vsftpの設定を「Anonymousログイン不可」「ログインユーザの限定」に留めて方が宜しいかと思います。
大手ISPも、このレベルでしょう。


> それともう1つなのですが、21番を開ける事によってコマンドプロンプトも使えますしget putも問題なく使用できました。 で、そこで疑問なのですが、20番は何のために開けておくものなのでしょうか?
パッシブモードを使用しない時の、データチャンネルとして使用します。

こちらをご覧になって見てください:

  http://kajuhome.com/vsftpd.shtml#n10
 Re: FTPサーバー 通信不可 ( No.15 )
日時: 2006/04/18 15:50
名前: root

たくさんお聞きして申し訳ないです!
なるほどよくわかりました

今回の原因は調べたところ、最近のルーターには20番を開放できない物がよくあるようです。
私の使っているメーカーは少しマイナーな物ですので調べても載ってはいませんでしたが、、

あと、ルーターに何か問題があるのだと思います。
パッシブで行こう!と決断し意気込んだのはいいですがポート 50000や50030などを開けてみても
どうも開放されていないようです 他のPC(Wan側) より確認してもすべてダメになります。
50000万など以外も色々調べましたがダメでした。。。
ちょっとルータでも買い換えようと思います
 Re: FTPサーバー 通信不可 ( No.16 )
日時: 2006/04/18 18:06
名前: J

 一応、自信がないのでvsftpd.confの内容を記述します。



# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
xferlog_std_format=NO
#
# You may change the default value for timing out an idle session.
idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
data_connection_timeout=60
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
ascii_upload_enable=YES
ascii_download_enable=YES
#
# You may fully customise the login banner string:
ftpd_banner=Welcome to oxoxox-server.homeip.net FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
ls_recurse_enable=YES

pam_service_name=vsftpd
userlist_enable=YES
#enable for standalone mode
listen=YES
tcp_wrappers=YES

log_ftp_protocol=YES
use_localtime=YES
pasv_promiscuous=YES
pasv_min_port=50000
pasv_max_port=50030


たぶん大丈夫だとは思いますがお気づきの点がございましたらお願い致します
 Re: FTPサーバー 通信不可 ( No.17 )
日時: 2006/04/18 18:46
名前: 武蔵

Jさん

他人のスレッドに、"一応、自信がないのでvsftpd.confの内容を記述します。"と書かれても、何が自信ないのでしょうか?
それとも、rootさん=Jさんですか?
 Re: FTPサーバー 通信不可 ( No.18 )
日時: 2006/04/18 19:06
名前: root

 すみません! 上記のは私です””

ですが、Jさんとはまた違いますのでご了承下さい。
違うマシンでうちこみましたので、間違えてJが押せていたのを名前が入っていると勘違い
していたようデス本当に申し訳ありませんでした!
 Re: FTPサーバー 通信不可 ( No.19 )
日時: 2006/04/20 20:45
名前: 管理者

rootさん。

投稿頂いた設定内容に不備等はありません。
この値そのままで、検証してみました。

vsftpdサービス以外の問題っぽいですね・・・
 Re: FTPサーバー 通信不可 ( No.20 )
日時: 2006/04/20 22:32
名前: 珠

自分も、ポートスキャンをすると、空けたはずのポートが
空いて無かったですが外からパッシブモードでFTPは出来て
います。知り合いの鯖管に質問をしてみましたが、パッシブ
モードとは、そういう物だと言われました・・・

この件について、ずっと疑問だったので、この機会に
[FTP 20番ポート 開放]で検索したら、下記が有りました。
いまいちスッキリしないのですが、そういう物なのだと。
http://sakaguch.com/PastBBS/0020/B0011160.html
 Re: FTPサーバー 通信不可 ( No.21 )
日時: 2006/04/20 22:48
名前: 管理者

携帯からなので、詳しく書くのが辛いので簡単に説明するとパッシブモードはポートの接続方向が違います。

これにより、外部からの接続がなくなるため一般的なルータは内部からのポート接続がフリーになります。

当方がルータのポート開けを説明しているのは基本的に外部からの対象ポート接続を許す為に記載させて頂いています。
 Re: FTPサーバー 通信不可 ( No.22 )
日時: 2006/04/21 00:57
名前: root

 皆様本当にありがとうございます。 
当方もいろいろ検証してみましたが、やはり問題は他にあったようです。
自宅に持ち帰り、BUFFALO製のルーターに接続し設定してみたところ、見事にすべての機能が
正常動作しました。 ようはルーターの問題みたいです;

ルーターに間違いはなかったようでメーカーにも問い合わせましたがもしかすると仕様の様なもの
かもと無責任な回答を頂きました。

ルーター選びもサーバー構築には重要なのかもしれませんね・・・

ちなみに当方のダメなルーターはiCOM製 SR-21VoIP-11 です。
会社のIP電話のため仕方なくこの機器を使っておりますので交換も難しい状態です。

今は自宅に持ち帰り作業を進めておりますがこのままだと自宅にての運営になりそうです^^;

ほんとたくさんのご意見ありがとうございました!

 Re: FTPサーバー 通信不可 ( No.23 )
日時: 2006/04/23 04:36
名前: root

 何度も申し訳ありません!
もう1つ教えてほしい事があるのですが、パッシブモード用のポート(HP内では50000〜50030との説明)を
別に5000など千番台にしてもこれは別に問題ないですよね?
会社のルーターですとなぜか50000万など大きな数字になるとなぜかポートが開かない問題がありまして
調べてみるとルーターによっては万番台にいくとうまく開かない物もあるみたいですので・・・

どうかご教授お願い致しますペコリ(o_ _)o))
 Re: FTPサーバー 通信不可 ( No.24 )
日時: 2006/04/23 08:42
名前: 管理者

>>12
にも、書かせて頂きましたが、ポート番号は1024〜65535の範囲であれば問題ありません。
ただし、この範囲内でも他のサービスが使用していない事。
 Re: FTPサーバー 通信不可 ( No.25 )
日時: 2006/04/23 13:51
名前: root

 ご回答ありがとうございます!

早速試してみましたが、やはり結果的にルーターがFTP自体と相性が悪いのか5000番台などでもダメでした・・・

ちなみに nmap -sS -p 1- localhost で使用ポートの確認をしましたが、なぜか vsftpd.conf内の修正をしてる
のに50000番台のまま・・・ (。-`ω´-)ンー やはりルータを替える以外に手はなさそうな感じです・・・

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.