PORT コマンド

FTP サーバーとともに PROXY モードの FTP クライアントは、他の FTP サーバーとデータ接続を確立して、ユーザー・サーバーから他のサーバーに大量のデータを送信できます。 したがって、PROXY モードの悪質な FTP クライアントは、ユーザーのサーバーから他のサーバーに大量のデータを送信してサーバーを攻撃できるので、そのサーバー・パフォーマンスが低下する結果となります。クライアントはデータを間接的に送信するので、悪質なクライアントのロケーションを即時判別するのはさらに困難です。

「サーバーがポート・コマンドを受け入れますか ?」の質問で「いいえ」を選択して、このような攻撃を回避できます。 ただし、「いいえ」を選択すると、PROXY モードでデータ転送をする一部の機能が失われます。クライアントがファイアウォール・フレンドリーに構成されていない場合は、プロキシー・モードの GET, PUT, MPUT, MGET および APPEND などのコマンドは実行できません。 ファイアウォール・フレンドリー・クライアントは、プロキシー・モードでこれらのコマンドを実行できます。

サーバーで PORT コマンドを受け入れないと指示すると、かなりの制約を受ける結果となるため、代替手段としては、PORT コマンドの使用を制限する方法があります。プロキシー・モードのクライアントはデータ転送を実行できますが、次の制限を適用することができます。

  1. 他のサーバーがクライアントと同じ IP アドレスをもつ場合にのみ、ユーザーのサーバーから別のサーバーへのデータ転送を許可する。 この設定は、「クライアントのアドレスとは異なる IP アドレスを指定する場合」のラベルのボックスにチェックして行われます。
  2. 他のサーバーが既知のポート (すなわち、1024 より高いポート番号) を listen 中でない場合にのみ、ユーザーのサーバーから別のサーバーへのデータ転送を許可する。この設定は、「1024 未満のポート番号を指定する場合」のラベルのボックスにチェックして行われます。