【FortiGate】NATを有効化した場合のFTP通信(パッシブモード)
NATを有効化した場合のFTP通信(パッシブモード)において不具合があり調査した結果FortiGateの仕様で判明したことがあるので記載します。
簡単な構成例は下図の通りです。
FTPサーバは公開サーバとしてFortiGateにVirtual IPを設定して宛先をNATする設定にしています。
FTP通信(パッシブモード)は簡単に説明すると下図のようにサーバからデータをやりとりするためのport番号を通知してもらいクライアントはそのport番号でサーバへアクセスします。
ここでFortiGateの仕様によりNAT有効またはVirtual IPを使用している場合はこのport番号もランダムに変換されてしまいます。
もしクライアントとサーバ間でRouterやファイアウォール製品が存在してポート番号で制限している場合は注意が必要です。
ランダムでポート番号を変換されるためTCP1024~65535等のHigtポートを許可する必要があります。
NATの送信元ポート番号の範囲はメーカーのナレッジに公開されています。