web-dev-qa-db-ja.com

IIS 8.5 FTPサーバー:一部のIPホワイトリストアドレスから接続すると、DIRおよびSTORが550応答を返す

我々は持っています:

  • ホワイトリストに登録されたIPアドレスからのFTP接続を受け入れるIIS 8.5サーバー
  • a PHP Webアプリ(LEMPサーバー上)。XMLファイルを作成し、FTP経由でこのIISサーバーにアップロードします。

私たちのWebアプリは接続を確立し、そのXMLファイルをアップロードすることができました。 Filezilla経由で接続することもできます。

ディレクトリリスト、ファイルアップロード、フォルダ作成は何ヶ月も問題なく機能しました。

ただし最近、特定のホワイトリストに登録されたIPから接続すると、フォルダーの一覧表示または書き込み機能が機能しなくなりました。

例については、 このスクリーンショット を参照してください。

  • 左側は、ホワイトリストに登録された住宅用IPを使用して開いたコマンドラインFTPセッションです。リストを取得しても問題ありません(ディレクトリが空です)。
  • 右側のセッションは、OpenVPNサーバーに接続した後に開かれました。 DIRの直後に切断されます。

同様のテスト (screenshot) で別のホワイトリストIPを使用すると同じ結果が得られました-DIRは最初の試行(異なるVPNを使用)で失敗しますが、2回目の試行(住宅IPを使用)で成功します)。

Filezillaを使用している場合、この動作は持続します。

さらに悪いことに、WebアプリのFTPセッションでこの動作が発生しています。これが、SSH経由でLEMPサーバーから開始したFTPセッションの スクリーンショット です。

dirコマンドの後、Ctrl + Cを押すまで、コマンドは無期限にハングします。そこに550応答コードがあることに気づきました。

WebアプリがファイルをSTORしようとすると、550が再び表示されます。

Webアプリによるアップロードの試行

2019-01-14 17:43:18 [ip removed] DOMAIN\Username 192.168.1.2 21 TYPE A 200 0 0 53e4f879-8616-435f-bef2-4a84ae0d7989 - -
2019-01-14 17:43:18 [ip removed] DOMAIN\Username 192.168.1.2 21 PORT xxx,xxx,xxx,xxx,158,231 200 0 0 53e4f879-8616-435f-bef2-4a84ae0d7989 - -
2019-01-14 17:43:39 [ip removed] DOMAIN\Username 192.168.1.2 21 STOR r4intake-general-testlname-testfname-1547487798.xml 550 4294967295 0 53e4f879-8616-435f-bef2-4a84ae0d7989 /r4intake-general-testlname-testfname-1547487798.xml -

Filezillaを使用したファイルのアップロードの試みのログは次のとおりです(私の居住IPから)。 STOR226を返します。

2019-01-14 17:47:49 [ip removed] DOMAIN\Username 192.168.1.2 21 TYPE A 200 0 0 808bb5b7-4e6a-4950-a204-f59a87f3d7b9 - -
2019-01-14 17:47:49 [ip removed] DOMAIN\Username 192.168.1.2 21 PORT xxx,xxx,xxx,xxx,214,2 200 0 0 808bb5b7-4e6a-4950-a204-f59a87f3d7b9 - -
2019-01-14 17:47:49 [ip removed] DOMAIN\Username 192.168.1.2 21 STOR r4intake-general-testlname-testfname-1547487999-full.xml 226 0 0 808bb5b7-4e6a-4950-a204-f59a87f3d7b9 /r4intake-general-testlname-testfname-1547487999-full.xml -

同じFTPサーバー、同じ資格情報、同じフォルダー、同じ転送モード-異なる応答。


観察:

テストしたホワイトリストに登録されたIPは5つあります。コマンドはこれらのIPのうち2つで成功し、3つで失敗します。

失敗した3つのうち、2つはDigital Ocean(LEMPサーバーと私のOpenVPNサーバー)に属し、1つは既知の商用VPNサービスに属しています。


私は通常、LEMPスタックを使用しており、IISについてはほとんど何も知りません。この時点から、原因が何であるかについてのアイデアはほとんどありません。

IISが特定のIP範囲(データセンター、既知のVPNなど)を好まない可能性がありますか、またはある種のセキュリティまたはグループポリシーが特定のIP範囲がFTP接続用のホワイトリストに登録されているにもかかわらず、特定のIP範囲がフォルダーに対して読み取り/書き込みを行う機能に影響を与えていますか?

2
Nathan

データポート20がサーバー上で正しくファイアウォール処理されていることを確認し、それらのクライアントで動作するためにPASVモードが不要であることを確認してください。

そのような問題、リスト、保存などはデータポートを開きます。したがって、あなたの場合のようにアクティブモードでは、それはブロックされているように見えるか、単にフィルタリングされているようです

1
yagmoth555