【FTP】EC2のFTPサーバをインターネットからと内部ネットワークからの2経路でアクセスできるようにしたい

構成

大まかな手順

1. パブリックサブネットにNATサーバを立てる（OUT→IN）
2. FTPサーバに新たにネットワークインターフェースをアタッチして、2NICの構成にする
3. vsftpdを2つ起動し、それぞれのネットワークインターフェースでListenできるようにする

環境

• プライベートサブネットにあるFTPサーバに対して、内部からの経路と外部インターネットからの経路両方でアクセスできるようにする
• 内部からは、LANあるいはVPCピアリング先のネットワークからのアクセス
• 外部からは、インターネットを経由して、パブリックサブネットに配置するIPマスカレードサーバを通して、FTPサーバまでたどり着く
• FTPサーバはパッシブモードで動作させる
• FTPサーバは内部からFTP要求を受け付けるIPが172.16.0.1、外部からは172.16.0.2のてい
• パッシブモードはクライアントからの要求のみで通信が確率するが、アクティブモード（古い）は、クライアントからの要求のあとにサーバからクライアントへの要求があるため、クライアント側にもポート開放したりする必要がある

まず、パブリックサブネットのIPマスカレードサーバを作る。
これは、Firewalldの機能を利用する。iptablesでもたぶんOK。使い慣れているほうで。

FTPサーバにネットワークインターフェースをアタッチする。
この際に、プライベートIPアドレスは固定化しておく。

FTPサーバにて、FTPプロセスを2つ動作させるようにする。
vsftpd.confをglobal.vsftpd.confなどでコピーして、それぞれ次のように設定する。

それぞれ次のように設定する。
vsftpd.conf(内部から)

global.vsftpd.conf(外部から)

 

confファイルのセットが完了したら、systemdユニットファイルを作る。

このような感じで、読み込むファイルを変更する。

systemdユニットファイルが完成したら、enableにして自動的に起動するようにする。

最後は、プロセスが2つ起動していて、外部内部それぞれからアクセスできればOK。