運用
常時接続時代のパーソナル・セキュリティ対策(第2回)

7.パケット・フィルタの設定(3)

デジタルアドバンテージ
2001/01/17

RRASのパケット・フィルタを設定する

 それでは実際に、Windows 2000 ProfessionalのRRAS機能に用意されているパケット・フィルタ機能を使って、設定を行ってみよう。

 パケット・フィルタを設定するには2つの操作が必要である。「デフォルト・ルール」の設定と、(1つ以上の)「例外ルール」の設定である。これらを設定するには、netshの「routing ip」コンテキストで、それぞれ「set filter」コマンドと「add filter」コマンドを使用する。このコマンドの使い方は、引数として「?」を付ければ表示される(もしくは、単に「set filter」とだけ入力してもよい。引数が不足していたり、正しくない場合には自動的にヘルプ・メッセージが表示される)。

C:\>netsh         ……netshコマンドの起動
netsh>routing     ……routingコンテキストへの切り替え
routing>ip        ……ipサブコンテキストへの切り替え
routing ip>set filter ?  ……デフォルト・ルールの設定コマンド

使用法: set filter [name=]<string>
              [[filtertype=]input|output|dial [action=]drop|forward]
              [[fragcheck=]enable|disable]
  (以下省略)

routing ip>add filter ?  ……例外ルールの設定コマンド

使用法: add filter [name=]<string> [filtertype=]{INPUT|OUTPUT|DIAL}
                   [srcaddr=]<IP address> [srcmask=]<IP subnet mask>
                   [dstaddr=]<IP address> [dstmask=]<IP subnet mask>
                 { [proto=] ANY |
                   [proto=]{TCP|UDP} [srcport=]<integer> [dstport=]<integer>|
                   [proto=] ICMP [type=]<integer> [code=]<integer> }
  (以下省略)

 使用法では、各コマンドは複数行に渡って記述されているが、これは実際には1行にまとめて入力する必要がある。これらのコマンドはかなり長いので、間違いがないように注意されたい。あらかじめコマンド・ファイルを作成しておいてスクリプト形式にして実行するのもよいだろう。なお大括弧(“[”と“]”)で囲まれた部分は、省略可能なことを表している。コマンドラインからインタラクティブに入力する場合は、省略可能な部分は省いたほうが迅速に入力できるので便利だろう。実際の例については後述する。

デフォルト・ルールの設定

 デフォルト・ルールは、ルールにマッチしないパケットの取り扱いを決めるためのものである。デフォルトでは「FORWARD(すべてそのまま通過させる)」であるが、今回は、デフォルトをすべて「DROP(ブロックする)」に設定する。フィルタリングを行う場所は、2つのそれぞれのネットワーク・カードごとに、インバウンドとアウトバウンドの2カ所あるが、今回は、「インターネット 接続」側の「インバウンド」の位置にセットする。このためのコマンドは、次のようになる(コマンドは大文字でも小文字でもかまわない)。

routing ip>set filter name="インターネット 接続" filtertype=input action=drop
OK

routing ip>

 set filterコマンドには、フィルタをセットするインターフェイス名と、フィルタをセットする場所(inputかoutput)、デフォルトの動作(dropかforward)を引数として与える。「インターネット 接続」の両側をダブルクォート記号で囲んで、「"インターネット 接続"」としているのは、名前に空白記号が含まれているからである。もしこれ以外の名前を使っていればそれに合わせて変更していただきたい。またその名前に特殊な記号が含まれていなければダブルクォートは省いてもよいが、分かりにくくなるので、文字列(ヘルプ・メッセージ中で「<string>」となっているところ)はすべてダブルクォートで囲むようにしたほうがよいだろう。なおここでは、すべての引数を省略せずに与えているのでかなり長いコマンドになっているが、省略形式を使うと次のようになる。

routing ip>set filter "インターネット 接続" input drop
OK

routing ip>

 慣れてくればこのように省略形を使ったほうが簡単で、迅速に入力できるようになる。もし入力を間違えたら、上下左右カーソル・キーで一度入力したコマンドを呼び出し、修正して再入力すればよい。

 以上のコマンドを入力できたら、それを確認してみよう。次のように、「インターネット 接続」のInputフィルタの部分が「(DROP)」となっているはずである。

routing ip>show filter
Input           Output          Demand Dial     Frag. Check     Interface
---------       ----------      -------------   --------------  ----------------
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            ループバック
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            内部
0   (DROP)      0   (FORWARD)   0   (FORWARD)   無効            インターネット 接続
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            ローカルネット 接続


 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第2回)
    1.Routing and Remote Accessサービスとその使い方(1)
    2.Routing and Remote Accessサービスとその使い方(2)
    3.Routing and Remote Accessサービスとその使い方(3)
    4.Routing and Remote Accessサービスとその使い方(4)
    5.パケット・フィルタの設定(1)
    6.パケット・フィルタの設定(2)
  7.パケット・フィルタの設定(3)
    8.パケット・フィルタの設定(4)
    9.パケット・フィルタの設定(5)
   10.パケット・フィルタの設定(6)
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT