Google Compute EngineのFTPファイアウォール

Question

Google Compute EngineのローカルホストでFTPが正常に動作しています。ポート21を許可するファイアウォールルールを追加しましたが、私はまだ世界からFTPに接続できません。

アイデア？

Answer 1

FTPは、複数のTCP接続を使用する複雑なプロトコルです。これは、常に問題を引き起こしている機能です。ポート21はコマンドチャネルにのみ使用されるが、データ転送自体は、必要なエンドポイント（すなわちポート番号）が動的に割り当てられ、コマンドチャネル内で通信される新しいTCP接続を使用して行われる。

このような動作により、単純なファイアウォールでは安全に使用できなくなります。つまり、常にさまざまなポートを開いておく必要があります。よりインテリジェントなファイアウォールは、コマンド接続を監視し、ポートを動的に開くヘルパーを提供します。しかし、暗号化を使用すると、TLS（FTPS）でFTPを使用すると、コマンド接続を検査できなくなるため、これらの設定も緩やかになります。

したがって、クライアントとサーバーの間にファイアウォールを介さずに直接接続すると、通常は正常に動作します。一方の側がファイアウォールやNATの後ろにいる場合（ほとんどの家庭ユーザと同様）、アクティブまたはパッシブFTPモードで再生した後に成功する可能性があります。しかし、両側がファイアウォールやNATの背後にある場合は、通常は失われてしまいます。

FTPを使用する代わりにSFTPを使用することをおすすめします。このプロトコルはSSHに基づいており、単一のTCP接続のみを使用します。したがって、ファイアウォールで簡単に設定できます。それ以外は、より安全です。つまり、デフォルトですべてが暗号化されています。 FileZillaやWinSCPのような多くのクライアントがそれをサポートしています。