AllowForeignAddress?


名前

AllowForeignAddress? -- PORT コマンドの使用可否のコントロール

概要

AllowForeignAddress? [ on|off ]

デフォルト
    AllowForeignAddress? off
コンテキスト
    server config, <VirtualHost?>, <Anonymous>, <Global>
モジュール
    mod_core
互換性
    1.1.7 以降

説明

通常,若い番号の (<1024) ポートを指定する為に PORT の使用を防止するだけでは無く,それ自身のアドレス (ftp コントロールコネクションのソースアドレス) 以外の何かによって ftp PORT コマンドを使われる事から ProFTPD は クライアントを拒否します.どちらの場合でも,クライアントは "Invalid port" エラーを送信され,メッセージは,syslog に,"address mismatch" 又は "bounce attack" が示されるでしょう.このディレクティブを有効化する事によって,ProFTPD は,クライアントが,クライアントのアドレスとマッチしていない無縁なデータ接続アドレスを知らせる事が可能になります.これは,自身を実際のデータコネクションに巻き込まずに,クライアントを許可する様なトリックで,2つの FTP サーバ間でファイル転送を行うことを可能にします.一般的に,そのような悪いアイデアで,この種を物を許可するかセキュリティ面を考えるべきです.AllowForeignAddress? はデータコネクションアドレスにのみ影響します.TCP ポートではありません.その PORT コマンドをクライアントが若い番号のポートを用いる事を許可する理由 (そして,その正当な理由) はまったくありません.

参照




オリジナルドキュメント

http://www.proftpd.org/docs/directives/linked/config_ref_AllowForeignAddress.html


Hiroyuki Seino http://www.seichan.org/ http://www.seichan.org/blog/
Today:1 Yesterday:1 All:5669