今回は、NASをFTPサーバーとして使えるように設定して行きます。
FTP(エフティーピー)とは、File Transfer Protocol(ファイルトランスファープロトコル)の略です。
日本語で言うと「ファイル転送ルール」って感じです。
FTPを利用するとインターネット経由でファイルをFTPサーバにアップロードしたり、ダウンロードすることが出来るようになります。
フリーのFTPツールも多くあり、一度設定すれば再設定する必要が無いので、とても楽です。
FTPはホームページサーバへのデータのアップロードで、昔から良く使われてきました。
NASをFTPサーバとして使う場合、インターネットからの多人数アクセスにも対応出来るため、ファイル共有化やデータ保管庫としての用途が多いと思います。
FTPの危険性
FTPは、古くから使われている規格なのでちょっとセキュリティ的に問題があります。
FTPを使う際には、FTPサーバにユーザー名とパスワードでログインします。
ユーザー名とパスワードに暗号化がないのは、FTPの仕様なのでどうする事も出来ません。
数年前から、これらの情報を盗むウィルスが出回っており、不正アクセスされる事件がニュースになっています。
FTPは通信自体がハッキングされる可能性もあるため、通信中に盗聴され中身のデータが抜かれる可能性もあります。
生データを転送していますので、盗み見られたら中身がそのまま漏洩データになります。
そして、何と言っても恐いのがユーザー名とパスワードが抜かれてFTPを乗っ取られる事!
ある日FTPサーバを見てみたら全部消えてた・・・という可能性があったりします。
そこで出てきたのがSFTP(SSH File Transfer Protocol)とFTPS(File Transfer Protocol over SSL/TLS)です。
SFTPとFTPS
SFTP(SSH File Transfer Protocol)は、SSHで暗号化された通信経路でファイル転送してくれます。
SFTPは「鍵での認証」が必要で、「秘密鍵と公開鍵」という鍵のペアを使用して認証する方式です。
認証鍵を使用するために、パスワード認証よりセキュリティが強いと言われています。
サーバー側に「公開鍵」を設定しておいて、PC側に「秘密鍵」を用意する事で、一致したら接続できるという仕組みです。
SFTPは、「秘密鍵と公開鍵」作成や「公開鍵」の設置が非常に面倒です。
サーバー設置者だけでなく、「秘密鍵」を設置するPC側もある程度の知識が必要となるので導入のハードルが高いです。
FTPS (File Transfer Protocol over SSL/TLS) は、FTPの拡張版で送受信するデータをSSLまたはTLSで暗号化してくれます。
FTPSは、サーバ運用側で「SSL証明書」を導入しなければなりません。
サーバ運用側が用意すれば良いので、アクセスするPC側は技術的知識を必要としません。
「SSL証明書」は、第三者機関に有料で認証してもらう事も出来ますが、自己証明書を作ることも可能です。
QNAPのNASには、サーバー証明書が付いてきますので、そのまま使う事も可能です。
セキュリティを必要としないファイルやデータのやり取りであれば普通のFTPを使っても良いと思います。
機密性の高いデータをやり取りするなら、暗号化できるSFTPかFTPSを使うべきです。
難易度は、(簡単)FTP → FTPS → SFTP(難解)です。
データ盗まれても良いから簡単なのが良い!って方は、FTPです。
少し手間を掛けても良いから、暗号化してセキュリティー性を高めたいという方は、FTPSがおすすめです。
STPSは・・・玄人でない限り、設定が面倒すぎるので止めた方が良いです。
NASのFTP設定
FTPは危険だよ!ヤバイよ!と言いましたが、それでも暗号化が必要なFTPSやSFTPより設定が簡単なのは事実です。
FTPの中に大事なものは入れないから盗み見られても良いし〜という方も居ると思います。
先ずは、ノーマルのFTP設定をしてみようと思います。
暗号化付きのFTPS設定は、次の記事で解説します。
NASをFTPサーバとして使えるように設定をしていきます。
「Qfinder」を立ち上げログインします。
QTSデスクトップから【コントロールパネル】アイコンをクリックします。
コントロールパネルが開いたら、【ネットワークサービス】→【FTP】→【FTPサービス】タブを選びます。
【FTPサービス】タブ
・一般
FTPサービスを有効にする:チェックを入れます。
プロコトルタイプ:「FTP(標準)」にチェックします。
ポート番号:21
通常は21で良いですが、ルーターが21番ポートを使用しているなどの場合は別ポート番号でも良いです。
FTPで使用するポート番号は、ポート開放とFTPツール設定でポート番号を合わせる必要があります。
但し、使えない予約ポート番号もあるので気を付けてください。
予約番号の詳細は、少し下に記載してあります。
Unicodeサポート:「はい」にチェック。
FTPツールがUnicodeサポートに対応していなければ「いいえ」にします。
匿名(Anonymous)を有効にする:「いいえ」にチェック。
Anonymousは、昔フリーウェアの配布などで使われていたもので、不特定多数の人がログインしなくてもファイルにアクセスできるようにするものです。
今は殆ど使われていませんので、有効にすることは無いと思います。
・接続
すべてのFTP接続の最大数:同時接続数を入力します。
同時接続できる数なので、30とか入れときゃ良いでしょう。
単一アカウントの最大接続数:適当に数を入れます。
1 つのアカウントに対する最大接続数だそうです。
10くらいにしておけば良いと思います。
ここで入力する最大接続数は「TS-231+」の場合メモリが1GBなので、256までという制限があります。
そんなに大勢が同時アクセスしないと思うので、使う人数の数を目安に設定してください。
FTP転送制限を有効にする:通常は設定する必要はありません。
非常に多くの方が、大量のデータ転送を行う際には制限した方が良い場合もあります。
【詳細設定】タブ
・パッシブFTPポートの範囲
「デフォルトのポート範囲を使用する」通常は、こちらにチェックを入れます。
「ポート範囲の定義」デフォルトの範囲が広すぎると思う方は、ポート範囲を狭める事が出来ます。
ポート開放する範囲が狭い方がセキュリティ的に良いので、1025から65535の間で好きなポート範囲を自由に決められます。
QNAPデフォルト設定のパッシブ FTP値が55536〜56559なので、この範囲の中で設定しても良いと思います。
例えば、60000-60010などで良いです。
通常データ通信コネクションが30も50も張られる事は無いので、範囲は狭くて構いません。
20、22、23、25、80、110、137、138、139、143、199、443、445、515、543、548、587、873、993、995、3306、3689、4662、4672、5000、5001、5005、5006、5335、5432、8080、8081、9997、9998、9999、50001、50002、は使用できない予約されたポートなので、それ以外のポート番号で設定しましょう。
パッシブFTPを使う時は、ここで設定したポート番号をルーターの設定でポート開放しなければなりません。
セキュリティツールのファイヤーウォールも、ポート開放設定が必要になる場合もあります。
「パッシブFTP接続要求に外部アドレスで応答する」は、通常使用しませんのでチェック入れません。
NASがルータやファイアウォールの内側にある環境で、WAN(広域通信網)からFTP接続ができない場合に、ここにチェックを入れるようです。
WANは通信事業者が企業のために用意する、東京〜大阪間の通信ネットワーク網などの事を言います。
FTP接続を有効にするためのルーター設定
FTPサーバにインターネット経由でアクセスするには、ルーター設定でポート開放をしてやる必要があります。
ポート開放がされていないとインターネット経由でアクセスしても、ルーターではじかれて接続できません。
適切なポートに穴を空けないとアクセス出来ないので、少し難しい部分です。
私が使用しているのは、NTTの光回線終端装置(ONU)というものです。
ONUは、ルーターが内蔵されていますのでログインすれば設定が出来ます。
ルーターへのログイン
ルータ設定画面をブラウザで表示する為に、「http://192.168.1.1/」又は「http://ntt.setup/」とブラウザのURL欄に入力し「Enter」キーを押します。
ログインウインドーが表示されるので、ユーザー名とパスワードをそれぞれ入力します。
ユーザー名は、「user」と入力します。
パスワードは、初回接続時に設定するようになっています。
設定しているパスワードを入力します。
設置業者がパスワードを設定して行った場合、以下のどれかに設定されている事が多いです。
パスワードが解らない場合は、入力してみてください。
・admin
・user
・root
・administrator
・password
・0000
・9999
・ntt
設置業者取付けの場合、どこかに記載してくれているはずなので、説明書や業者が置いて行った紙などを見てみましょう。
どうしても解らない場合は、初期化して再設定する手もありますが、安易に初期化すると今まで使えていたものが使えなくなる危険性があります。
そんな場合は、NTTに聞くのが早いと思います。
「ルータの設定画面に必要なログインパスワードを忘れてしまいました。初期化は恐いのでどうすれば良いですか?」と聞けば良いと思います。
サポートの方がルータの初期化方法と、その後のインターネット接続設定の案内をしてくれると思います。
NTTのONUの場合は、「通信機器お取扱相談センタ」を検索してください。
フリーダイヤルが見つかるはずです。
NTTではないメーカー製ルーターの場合は、以下の設定でログインしてみてください。
バッファロー:「http://192.168.11.1」ユーザー名「root」パスワード「空欄」
コレガ:「http://192.168.1.1」ユーザー名「root」パスワード「空欄」
エレコム:「http://192.168.1.254」ユーザー名「root」パスワード「空欄」
この記事は、NTTのONUの場合で進めますが、基本的に設定内容はどのルーターでも同じです。
どのポートを開放するか?
ルーターにログインしたら、いわゆるポート開放(ポート転送)というやつをやります。
NTTルータで無い場合は、「ポート開放 使っているルータ機器名」で検索してください。
ポート開放は、ポートに穴を開ける事です。
ルーターというのは、駅の改札のようなものです。
ルーターのポートが穴だらけだと良からぬ人が勝手に入ってくる確率が上がるので、セキュリティ的に宜しくありません。
何をインターネット経由でやりたいかで、開ける穴を決めます。
例えば、FTPだけで良いなら「ポート21番のTCP」だけを開放してやります。
QNAPのチュートリアル内にある説明では、下記が規定ポート番号とされています。
Webベースのシステム管理 | 8080 |
---|---|
FTP | 21 |
パッシブ FTP | 55536〜56559 |
Webサーバー | 80 |
Download Station (BitTorrent ダウンロード) | 6881-6999 |
リモートレプリケーション (Rsync) | 873 |
Telnet | 13131 |
SSH | 22 |
SSL | 443 |
SMTP | 25 |
Samba | 445 |
MySQL | 3306 |
TwonkyMedia | 9000 |
これらを全て開放すると便利にはなりますが、ポート開放は可能な限り少なくしましょう。
セキュリティの観点から、使わないポートは閉じておくのが常識です。
特に重要なのが「8080」です。
NAS設定をインターネット経由で操作できるのは便利ですが、不正アクセスされてNAS設定を弄られたら、ログインすら出来なるので非常に危険です。
NASの設定は、直接繋がったパソコンでしか出来ないようにすべきです。
FTPの2種類のモード
FTPには、アクティブモードとパッシブモードという2種類のモードがあります。
詳しくは説明しませんが、通常はパッシブモードで良いと思います。
アクティブモードの場合、20番と21番ポートを開く必要があります。
20番ポートは、データコネクションと言われ、データのやり取りを行うポートです。
21番ポートは、コントロールコネクションと言われ、ログイン情報や転送方法などをやり取りするポートです。
パッシブモードの場合、21番ポートでコントロールコネクションを行い、データコネクションは指定されている範囲内のポートが、ランダムで割り振られます。
よって、パッシブモードは、20番ポートの開放は必要ありません。
パッシブモードのメリットは、接続が内部から外部へのアクセスになるので、セキュリティの影響を受けにくい点です。
ファイヤーウォールは、外部からのアクセスを細かくチェックしますが、内部から外部へのアクセスチェックは緩いのでセキュリティソフト関係のトラブルが起きづらくなります。
FTPでデータのやり取りをしていると、セキュリティ関係の問題で通信できなくなる場合があります。
セキュリティソフトをバージョンアップしたら繋がらなくなってしまう事もあります。
こういったトラブルによる時間ロスを避けるためにもパッシブが有効です。
という事で、パッシブモードで設定して行きます。
ルーターのポート開放設定(FTP)
ルーター(ONU)にログインして、ブラウザで設定画面を開きます。
左のメニューから【静的NAT設定】をクリックして「静的NAT設定」画面を表示します。
「エントリ番号」の空いている上位番号(何も設定していなければ1)をクリックします。
すると1番の静的NAT設定がリストの上に表示されます。
いきなりエントリ番号5番など、番号を飛ばしてはいけません。
必ず空いているエントリ番号の上から順に使って行ってください。
エントリ番号:1
優先順位:エントリ番号と同じ1で良いです。
接続インターフェイス名:メインセッションを選びます。
宛先IPアドレス:NASのネットワーク設定で固定したIPアドレスを記入
(例:192.168.1.100)
変換対象IPアドレス:自分のWAN側IPアドレス
変換対象プロコトル:TCP
変換対象ポート(開始ポート-終了ポート):21
設定が終わったら下にある【設定】ボタンを押します。
エントリ番号1に内容が表示されるはずです。
FTP接続テスト
ここで一度通信テストをしてみましょう。
ルーターの中には、21番ポート指定だけで自動的にFTP開通してくれるものもあるので、この時点で接続できる可能性があります。
FTPサーバへのアクセス確認は、NASが繋がっているネットワーク以外のネットワークからアクセスしてください。
NASが接続されているネットワーク上のパソコンから、FTPツールでアクセスしても繋がりません。
外部のパソコンから接続する場合は、FTPソフトで接続できます。
フリーのFTPツールで有名なのは「FFFTP」です。
WindowsでもMacでも使えるFTPツールでは「FileZilla」がおすすめです。
自分ひとりで接続確認をする為に、毎回ネットカフェに行くのは現実的ではありません。
そこで、スマホアプリを活用します。
Androidなら「AndFTP」が有名で使いやすいです。
iPhoneなら「FTPManager Free」あたりでしょうか。
スマホのFTPアプリでもFTPサーバ(NAS)に接続出来ますので、外部からのアクセス確認に最適です。
自宅でスマホをWi-Fi接続して使っている方は、Wi-Fi接続を切ってLTEや3G接続にしてから、FTPアプリを使ってNASに繋いでみましょう。
もし、繋がらない場合はルーターに追加でポート開放設定が必要です。
エントリ番号:2
優先順位:エントリ番号と同じ2で良いです。
接続インターフェイス名:メインセッションを選びます。
宛先IPアドレス:NASのネットワーク設定で固定したIPアドレスを記入
(例:192.168.1.100)
変換対象IPアドレス:自分のWAN側IPアドレス
変換対象プロコトル:TCP
変換対象ポート(開始ポート-終了ポート):パッシブFTPポート範囲
【ネットワークサービス】→【FTP】→【詳細設定】タブで設定したポート範囲を指定します。
設定が終わったら下にある【設定】ボタンを押します。
エントリ番号2に内容が表示されるはずです。
この設定が出来たら、再度、接続テストをしてみましょう。
通常は、これで繋がるはずです。
NASの初期状態は、何もファイルが無いため接続して中身を見ても解りづらいと思います。
何かテストファイルを入れておくと解りやすいです。
これでも繋がらない場合は、ファイヤーウォールを一瞬だけ切って接続してみましょう。
パッシブモードの場合、セキュリティソフトによる影響は無いはずですが可能性を潰して行かないと原因が見つけられません。
もし、セキュリティソフトが原因であればセキュリティソフトの設定でポート開放してあげる必要があります。
「セキュリティソフト ポート開放」などで検索して方法を探してください。
どうやっても繋がらね〜!って時の最終手段
どうしても、接続できない場合はパッシブモードを諦め、アクティブモードにするというのも手です。
ルーターの【静的NAT設定】で、変換対象ポート(開始ポート-終了ポート)を20-21にして開放してあげてください。
NASの【FTPサービス】タブのポート番号は、21のままで良いです。
【詳細設定】タブのパッシブFTPポート範囲は、使われませんので消して構いません。
スポンサーリンク