FTPSの通信許可
1.内容
FTPS(FTPS - Wikipedia)の通信許可設定方法(netscreen)
接続モード:パッシブ
暗号モード:Explicit
(FTPSは、時代遅れな気がしますが、必要になったので...)
2.考え方
- FTPは、netscreen標準の「FTP」サービスを許可すれば良い。
ALG(Application Level Gateway)によって2段階目のデータ・コネクションも許可される。 - FTPSは通信が暗号化されてしまうため、ALGが機能せずFireWallにブロックされる。
(機種によっては、FTPS用のALG設定可能set security alg ftp ftps-extension
) - そのためダイナミックポートの範囲を追加で許可する必要がある。
3.設定例
set address Trust "TEST-PC" xxx.xxx.xxx.xxx 255.255.255.255 set address DMZ "FTPS-SV" yyy.yyy.yyy.yyy 255.255.255.255 set service "FTPS-PORTS" protocol tcp src-port 49152-65535 dst-port 49152-65535 set policy id <nn> from Trust to DMZ "TEST-PC" "FTPS-SV" FTP permit set policy id <nn> set service "FTPS-PORTS" exit set policy move <nn> after <nn-1> save
4.備考
ダイナミックポートは下記コマンドで確認する(Windows)
>netsh int ipv4 show dynamicport tcp