| Linkexpress 導入ガイド |
|
目次
索引
|
| 付録B ファイアウォール環境への導入時の注意事項 |
ファイアウォール環境では、ファイアウォール側の設定により以下の問題が発生する可能性があります。このため、Linkexpressサーバのデータ転送に合わせて、ファイアウォール側の設定を変更する必要があります。
[問題発生箇所]
ファイアウォール側の設定(ポート番号のフィルタリングなど)により、コネクション確立が失敗します。TCP/IP(FTP系)のPORTモードの場合は、双方向でコネクション確立を実施するため、注意が必要です。
[対処]
ファイアウォール機器によりフィルタリング設定方法は異なりますので、ご利用のファイアウォール機器の設定方法を確認してください。また、運用システムのセキュリティポリシーに従った対処を実施してください。
また、Windows 2003 Service Pack 1以降およびWindows XP Service Pack 2以降を適用されているPCサーバで、Windowsファイアウォールを「有効」としている場合、以下の手順でLinkexpressサーバを「通信を許可するプログラム」としてシステムへ登録してください。
[問題発生箇所]
NAT変換(プライベートアドレスとグローバルアドレスの変換をルータ等の機器で実現)を実施されている場合、データコネクション確立処理に失敗する可能性があります。これは、制御コネクション上に流通するFTPプロトコル電文をNAT変換機器が正しくNAT変換しない場合、問題となります。
FTPプロトコル電文として、PORTコマンドまたはPASVコマンド電文でIPアドレス情報が流通します。NAT変換機器で「FTP転送を許可」とした場合、NAT変換機器は応答側制御コネクションポート番号が "21" の時のみFTPプロトコル電文上のIPアドレスをNAT変換します。Linkexpressサーバの応答側制御コネクションポート番号の標準は "9364" のため、PORTコマンドまたはPASVコマンド電文のIPアドレスがNAT変換されず、データコネクション確立処理が失敗します。
[対処]
NAT変換機器において、応答側制御コネクションポート番号が "21" 以外の場合でもNAT変換可能なように設定してください。なお、NAT変換機器により設定方法は異なりますので、NAT変換機器の設定方法を確認してください。"21" 以外の場合、NAT変換できない機器がありますので、ご注意してください。
また、応答側制御コネクションポート番号を標準FTPと同じ "21" で設定することでNAT変換の問題を解決することができます。変更手順を以下に説明します。なお、"21" に変更する場合のデメリットとしては、標準FTPサーバとLinkexpressサーバとの共存ができなくなることです。
<起動側システムの設定>
<応答側システムの設定>
変更前:
ftp 21/tcp lnkexpb 9362/tcp lnkexpc 9363/tcp lnkexpf 9364/tcp |
変更後:
#ftp 21/tcp #コメント行にします lnkexpb 9362/tcp lnkexpc 9363/tcp #lnkexpf 9364/tcp #9364情報を退避し、 lnkexpf 21/tcp #21 へ変更します |
|
目次
索引
|