質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
Vsftpd

Vsftpdは、UNIX系システム向けのオープンソースのFTPサーバ(デーモン)です。セキュリティが高く安定性に優れており、軽くて高速なのが特徴。設定・保守が比較的簡単なため、商用のサイトでもよく使用されています。

FTP

FTP(File Transfer Protocol)は、ネットワークでのファイル転送を行うための通信プロトコルの1つである。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Amazon VPC

Amazon VPC(Amazon Virtual Private Cloud) は、仮想的なネットワークです。 独自の IP アドレスレンジの選択、サブネットの作成、ルートテーブル、 ネットワークゲートウェイの設定など、仮想ネットワーク環境を完全にコントロール可能です。

Amazon EC2

Amazon EC2は“Amazon Elastic Compute Cloud”の略称です。Amazon Web Services(AWS)の一部であり、仮想化されたWebサーバーのコンピュータリソースをレンタルできるサービスです。

Q&A

解決済

4回答

2089閲覧

EC2間でのFTPアップロード時のセキュリティグループの設定について

nata-de-Gollira

総合スコア42

Vsftpd

Vsftpdは、UNIX系システム向けのオープンソースのFTPサーバ(デーモン)です。セキュリティが高く安定性に優れており、軽くて高速なのが特徴。設定・保守が比較的簡単なため、商用のサイトでもよく使用されています。

FTP

FTP(File Transfer Protocol)は、ネットワークでのファイル転送を行うための通信プロトコルの1つである。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Amazon VPC

Amazon VPC(Amazon Virtual Private Cloud) は、仮想的なネットワークです。 独自の IP アドレスレンジの選択、サブネットの作成、ルートテーブル、 ネットワークゲートウェイの設定など、仮想ネットワーク環境を完全にコントロール可能です。

Amazon EC2

Amazon EC2は“Amazon Elastic Compute Cloud”の略称です。Amazon Web Services(AWS)の一部であり、仮想化されたWebサーバーのコンピュータリソースをレンタルできるサービスです。

0グッド

0クリップ

投稿2020/09/30 09:27

編集2020/10/01 09:41

困っていること

VPC内に、アプリサーバ(10.11.0.1) と FTPサーバ (10.11.1.1)のEC2を立て、アプリサーバからFTPアップロード(パッシブモード)したいのですが、接続できず困っています。

FTPサーバはvsftpを使用しています。

やってみたこと

FTPサーバ側のセキュリティグループのインバウンドに、アプリサーバのEIPを許可するとアップロードできました。
ローカルIP(10.11.0.1/32)を指定すると、アップロードできませんでした。

疑問に思っていること

ルートテーブルの送信先に10.11.0.0/16 は ターゲットが local になっているため、インターネットへ出ずに接続すると思っていたので、上記のセキュリティグループには、アプリサーバのローカルIP(10.11.1.1/32) か アプリサーバのセキュリティグループ名 を指定すれば、アップロードできると思っていました。

知りたいこと

EIPを許可するとアップロードが成功する事から、一度インターネットに出てアップロードされているのでしょうか?
もし、そうだとすると、これをローカル内で完結するには何か方法はあるのでしょうか?

ご教示のほど、よろしくお願いします。

追加で分かったこと!

FTPサーバ のセキュリティグループのインバウンドには、アプリサーバのEIPだけでなく、アプリサーバのセキュリティグループの両方の設定が必要でアプリサーバのEIPだけではアップロードに失敗しました。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

ベストアンサー

vsftpd.conf の pasv_address に EIP を設定しているのではないでしょうか?
コントロールポート(TCP 21 番ポート)はローカルIP に接続(アプリサーバのセキュリティグループで許可)した後、データポートは EIP に接続(アプリサーバの EIP で許可)しているように思います。

投稿2020/10/02 01:20

TaichiYanagiya

総合スコア12146

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

nata-de-Gollira

2020/10/02 04:03

気づくの遅かったです。そのとおりでした! やはり、パッシブモードではローカルからのアクセスであってもEIPでの接続しかできないという事でよろしいでしょうか?(外部からのアクセスもあるのでEIPは必要です)
TaichiYanagiya

2020/10/02 06:19

> パッシブモードではローカルからのアクセスであってもEIPでの接続しかできないという事でよろしいでしょうか? そのようです。 IPアドレスを追加して(ENI だと大げさなので、セカンダリIP でも)、ローカル用にもう一つ vsftpd を起動する、または、SCP/SFTP を使う方法が考えられます。
nata-de-Gollira

2020/10/02 06:22

ありがとうございます。助かりました。何よりすっきりしました。
guest

0

要はEIPを振ってるEC2を踏み台サーバーにして、もう一つのEC2に接続したいということですよね。
ネットワークの問題かFTPの問題か切り分けるために、SSHかICMPをもう一つのEC2で許可して接続を確認するのはどうでしょうか?
あと、SSHで繋がるようならSCPを使うのも一つの解かも知れません。

投稿2020/09/30 11:02

mike2mike4

総合スコア901

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

nata-de-Gollira

2020/10/01 05:28

回答遅くなり、恐縮です。 すいません。。。踏み台ではないです。 同一VPC内のEC2同士でのファイルのやりとりをFTPで行いたいのです。 詳細を説明すると、 オンプレの古いシステムをAWSへ移行しようとしており、アプリサーバはPHPのプログラムからFTPアップロードを実行しております。 (この時アップロード先はFTPのローカルアドレスを指定しています) 今回はソースコードの変更はなし という前提のため、SCPに変更することもできません。 ちなみに、アプリサーバ→FTPサーバへはSSHでは通信できました。 (FTPサーバのセキュリティグループにアプリサーバのローカルIPのアクセスを許可して)
nata-de-Gollira

2020/10/02 03:58 編集

アドバイスありがとうございます。 vsftp設定で pasv_address に EIPを設定しているのですが、 PASVモードなので、アプリサーバからは最初のFTPサーバへの通信はローカルで通信するが、 pasv_address(EIP)が返ってくるため、FTPアップロードする時は、EIPのアドレスで通信されている そのため、1回目と2回目で通信しているIPが違うのではないか? という自己結論になりました。 vsftp設定でローカルからのアクセスの場合と外部からのアクセスで、返すpasv_address を変える事ができれば問題なさそうなのですが、できなさそうですねー https://dev.classmethod.jp/articles/to-be-aware-of-when-settingup-ftpserver-with-aws/ これを見るとFTPサーバに複数のIP持たせればできそうではありますが。
guest

0

あれ? コメントするつもりが回答してしまいました。これ、取り消す訳にはいかないのでごめんなさい

投稿2020/09/30 11:04

mike2mike4

総合スコア901

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

mike2mike4

2020/09/30 11:04

うわ、またやってしまった!!!
guest

0

ピアリング接続かな?

投稿2020/09/30 09:31

mike2mike4

総合スコア901

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

nata-de-Gollira

2020/09/30 09:32

VPCピアリングの事でしょうか? 同一VPC内にEC2を立てております。 的外れであればすいません。
mike2mike4

2020/09/30 09:43

ハズレでしたか。ネットワークACLが必要なはずですがそちらの設定はどうですか? EIPでなくともパブリックIPが付けられたと思うのでそちらではどうでしょうか?
nata-de-Gollira

2020/09/30 09:56

ネットワークACLでは全トラフィックを許可しています。 サブネットの関連付けも大丈夫そうです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問