運用
常時接続時代のパーソナル・セキュリティ対策(第2回)

9.パケット・フィルタの設定(5)

デジタルアドバンテージ
2001/01/17

 以上でフィルタの設定は完了である。show filterコマンドで正しく設定できたかどうかを確認しておこう。「インターネット 接続」の「Input」の列が、「7 (DROP)」となっているが、これは7つの例外ルールが定義されているということを表している。より詳しくフィルタの内容を表示するには、show filterコマンドにインターフェイス名を付加すればよい。

routing ip>show filter  ……フィルタ設定の表示
Input           Output          Demand Dial     Frag. Check     Interface
---------       ----------      -------------   --------------  ----------------
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            ループバック
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            内部
7   (DROP)      0   (FORWARD)   0   (FORWARD)   無効            インターネット 接続
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            ローカルネット 接続

routing ip>show filter "インターネット 接続"
           ……………………「インターネット 接続」フィルタの詳細表示
インターフェイス インターネット 接続 のフィルタ情報
------------------------------------------------------------------

フラグメント チェックは 無効 です。

フィルタの種類        : INPUT
既定の操作            : DROP  ……デフォルト・ルールはDROP
    以下に表示されている7行が、今回定義した例外ルール
    Src Addr       Src Mask         Dst Addr       Dst Mask      Proto  Src Port  Dst Port
------------------------------------------------------------------------------------------
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0 TCP-EST       0       0
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP      20       0
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    UDP      53       0
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    UDP      67      68
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    UDP     123       0
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0   ICMP       0       0
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0   ICMP       8       0
出力フィルタが構成されていません。  ……アウトバウンド・フィルタは未定義
デマンド ダイヤル フィルタが構成されていません。
    ……ダイヤル アップフィルタも未定義
routing ip>

フィルタ機能の確認

 以上でフィルタの設定は終わりである。Windows 2000マシンや、LAN上のクライアントから、正しくインターネット上のリソースが使えるかどうかを確認しておこう。メールやWebブラウザ、ftpクライアント、pingなどは何の問題もなく利用できるはずである。

 ところで、インターネット上のリソースが正しく利用できるかどうかは簡単にチェックできるが、逆に、本当にパケットのフィルタ(ブロック)が機能しているかどうかは実際にインターネット側からアクセスしてテストしてみるしかない。別契約のプロバイダなどからインターネットにアクセスしてみて、そこからWindows 2000マシンに割り当てられているIPアドレスをアクセスして、チェックしておこう。TCPの135番や445番へ外部からtelnetでアクセスしてみて、正しく拒否されるかどうかを見るのである(「telnet <IPアドレス> 135」などとして、接続が失敗することを確認する)。

 もしこのような方法が取れないのなら、代わりにフィルタを1つずつ付けたり外したりして、その効果を確かめるとよい。たとえば、TCPの20番ポートへのアクセス許可用ルールを無効にすると(削除すると)、ftpでlsやdir、get、putができなくなり、UDPのDNS用ルールを削除すると、名前解決ができなくなるはずである。もしそうならないとすると(フィルタ設定に関係なく通信できるようなら)、RRASが正しく動いていないということが考えられる。RRASサービスが動いていなくても、netshで各種の設定が行えるので、これは気が付きにくいかもしれない。interfaceコンテキストでshow interfaceコマンドを発行して、正しくインターフェイスが表示されるかどうかを確認してみよう(RRASが動いていない場合は、show interfaceコマンドではインターフェイスが何も表示されないか、Stateのフィールドが空白になっている)。

netsh>interface
interface>show interface

Admin State    State          Type             Interface Name
-------------------------------------------------------------------------
有効             接続             ループバック           ループバック
有効             接続             内部               内部
有効             接続             専用               インターネット 接続
有効             接続             専用               ローカルネット 接続
                 ↑↑RRASが稼動中ならここが「接続」となっている
interface>

 以上の確認が済めば、最初の時と同じように、忘れずにdumpコマンドで全設定をファイルへ保存しておこう。

パケット・フィルタ設定の削除

 いったん定義したパケット・フィルタ設定を削除するには、2つの方法がある。

 1つは、元のadd filterコマンドでセットしたのとまったく同じ引数を使って、del filterというコマンドを実行することである。一般的なルータでは、フィルタを設定するときにルールに番号を付けておいて、後でその番号を指定してルールを削除したりするが、RRASではフィルタのパターンだけを見てどのルールに一致するかを調べている。そのため、add filterで指定したのと同じ形式でdel filterコマンドを実行する必要がある。例えば次のようになる。

routing ip>del filter "インターネット 接続" input 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp-est 0 0
OK

routing ip>

 この方法は、netshをインタラクティブに使って、フィルタ設定を試行錯誤するような場合には便利であろう。add filterを実行したコマンドラインをカーソル・キーで呼び出して、“add”を“del”に書き換えてから実行すればよい。

 もう1つの方法は、dumpコマンドで設定情報をファイルへ出力しておき、テキストエディタなどで編集後(いちいちdel filterコマンドを実行して前のルールを削除しなくてもよい)、再ロードさせる方法である(テキストをコマンド プロンプト・ウィンドウへ貼り付けるには、ウィンドウ上でマウスを右クリックするのが一番手軽である。コマンド プロンプトの使い方については、連載「Windows 2000 コマンドライン徹底活用」の「第2回 コマンド プロンプト入門(その2)」などを参照のこと)。

パケット・フィルタ設定の修正

 パケット・フィルタの内容を修正するには、元のルールをいったん削除してから、新たに追加する必要がある。さもないと、古いルールが残ったまま、新しいルールがどんどん追加されていってしまう。

関連記事(Windows 2000 Insider内)
連載
 Windows 2000 コマンドライン徹底活用:第2回コマンド・プロンプト入門(その2)
 

 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第2回)
    1.Routing and Remote Accessサービスとその使い方(1)
    2.Routing and Remote Accessサービスとその使い方(2)
    3.Routing and Remote Accessサービスとその使い方(3)
    4.Routing and Remote Accessサービスとその使い方(4)
    5.パケット・フィルタの設定(1)
    6.パケット・フィルタの設定(2)
    7.パケット・フィルタの設定(3)
    8.パケット・フィルタの設定(4)
  9.パケット・フィルタの設定(5)
   10.パケット・フィルタの設定(6)
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT