[IIS]FTPS(FTPES)の構築

[IIS]FTPS(FTPES)の構築

概要

FTPSとは:FTPの認証で送信されるユーザ名とパスワードの電文は、暗号化されていない状態(クリアテキスト)であるため、第三者に盗聴・侵入される危険性がある。FTPSはその危険性を回避するために制定された。

Windows Server 2008 IIS7 より FTPS が利用可能になったのでさっそく使ってみよう

※下記の記述は NAT配下(ルーターRTX1100)にサーバーがある環境として説明している

前準備

IISの設定

  1. IISマネージャにて,サーバーの[FTPファイアウォールのサポート] – [データチャンネルポートの範囲]を指定する
    2016-09-21_132650
    ■[サイト] の管理ではデータチャンネルのポート範囲設定はできない。サーバーを指定した状態で行う
    ■このデータポートの範囲で,クライアントとデータ通信を行うこととなる。後にルーターでポート開放(ポートマッピングを行う)
  2. サイトを指定して,[FTPファイアウォールのサポート] – [ファイアウォールの外部IPアドレス] を入力する。このIPアドレスはグローバルIPアドレスとなる。つまりルーターの外側アドレスである。2016-09-21_133201
  3. サイトの [FTPのSSL設定] にて SSL証明書,SSLポリシーを指定する
    2016-09-21_133615

ルーターの設定

今回の環境はルーター配下にサーバーを設置しているため,NAT越えが必要となる。必ずルーターの設定は必要となる。

  • TCP ポート 21  の開放(マッピング)をする。FTPサイトのバインドでポートを変更している場合はそれに準ずる
  • IISの設定手順1で指定したポート範囲の開放(マッピング)をする
  • 関係するパケットフィルターの調整 TCP21とデータチャンネルポートなど

Windows ファイアウォールの設定

以下の受信規則をOKにしておく

2016-09-21_134425

FTPサーバー,FTPサーバーセキュリティ,FTPサーバーパッシブ

クライアント接続設定

以下のモーでなければ接続できないので注意

  • PASV (パッシブ)モード
  • Explict (FTPES) モード
  • 接続はサーバー側のグローバルIP (IISの設定手順2と同じ)かドメイン名。IISサーバーと同じLAN内のクライアントから接続する場合,直接IISサーバーのローカルIPアドレスを指定しても接続できない

備考

検証した環境はIISはNAT配下にある。IISサーバーそのものにグローバルIPを設定できるのであればもっと単純に構築できる

プロパティ

Windows Server 2008

IIS7.0

RTX1100

FFFTP 1.99a

解決しましたら、いいね か ツイート をお願いします

コメントする