Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windows Vistaのファイアウォールでpingへの応答を許可する

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2007/06/22
 
対象OS
Windows Vista
Windows Vistaではデフォルトでファイアウォールが有効になっており、環境によってはpingに応答しない。
Windows Vistaのファイアウォールは従来のものより強化されており、管理方法も異なる。
pingに応答させるためには、セキュリティが強化されたWindowsファイアウォールで、ICMPのEchoに対する受信を許可する規則を追加するか、既存の規則を変更する。
 
解説

 Windows Vistaではファイアウォールが強化され、従来のWindows XP SP2やWindows Server 2003のWindowsファイアウォールよりも機能が向上している。しかしこのために、いくらか設定方法が変更されている部分もある。例えば外部からpingコマンドを実行し、それに応答するためには、ICMPのEchoコマンド・パケットの受信を許可する必要がある。このためには、従来のWindowファイアウォールでは、[コントロール パネル]−[Windowsファイアウォール]の[詳細設定]タブにあるICMPグループの[設定]ボタンを利用していた(これ以外にネットワーク・インターフェイスごとにも設定できる)。

 だがWindows Vistaではファイアウォールの機能が拡張されたため、新しく用意された[セキュリティが強化されたWindowsファイアウォール]ツールで設定を行う。本TIPSでは、この方法について解説する。

操作方法

 Windows Vistaを導入した場合、ネットワークの設定によっては受信は(ほぼ)禁止、送信は許可となっている(初期セットアップ時に選択した「家庭」や「職場」などの設定にもよる)。禁止されている受信パケットは、NBTや管理用ポートだけでなく、pingコマンドで利用されているICMP(ICMPv4)プロトコルのEchoコマンドもその対象となっている。そのため、外部からpingコマンドを実行しても、Windows Vistaコンピュータはpingに応答しないことがある。これを許可するには、[すべてのプログラム]−[管理ツール]−[セキュリティが強化されたWindowsファイアウォール]で以下のように、ICMPのEchoコマンドの受信を許可するか、新しく受信規則を追加する。以下では、新しい規則を追加する方法と、既存の規則を変更する方法について解説する。

新しくICMP Echoの受信規則を作成する

 Windows Vistaのファイアウォールでは、あらかじめICMP Echoの受信規則が定義されているが、手動で新規作成すれば、Echoだけでなく、関連するほかのICMPコマンドも許可できるなど便利なので、まずはこの方法を紹介しておこう。まず管理ツールを起動し、[受信規則]に新しい許可エントリを作成する。

ファイアウォール管理ツールの起動
Windows Vistaでpingを許可するには、まず[すべてのプログラム]−[管理ツール]−[セキュリティが強化されたWindowsファイアウォール]ツールを起動し、[受信規則]に新しく規則を追加する。
  これを選択する。
  定義されている受信規則の一覧。
  これをクリックして、新しい規則を追加する。

 以上のをクリックして新規受信規則のウィザードが起動したら、ICMPの定義を設定する。

新規規則の作成
ICMPの受信規則は定義されていないので、手動で追加する。
  この[カスタム]を選択する。

プログラムの指定
ICMPはプログラムに依存しないので、すべてのプログラムを許可しておく。
  これを選択する。

プロトコルの定義
pingへ応答するにはICMPのEchoを許可する。
  プロトコルの指定ステップ。
  [ICMPv4]プロトコルを選択する。
  これをクリックして、より詳細なICMPコマンドを定義する。

ICMPコマンドのカスタマイズ
pingだけではなく、それ以外のICMPコマンドも個別に許可/禁止できる。
  デフォルトではすべてのICMPコマンドが許可されるが、セキュリティ』考えると、必要なものだけを許可しておけばよいだろう。
  これを選んで、個別にカスタマイズする。
  pingに応答するには、この[エコー要求]だけを有効にすればよい。
  必要に応じて、ほかのICMPコマンドも許可しておく。

ルールの設定
上で選んだプロトコルを許可する。
  これを選ぶと、設定したプロトコルが許可される。
  デフォルトではこちらが選択されている。

プロファイルの選択
ファイアウォールのルールをどのような状況で適用するかを決めるのがこのプロファイル。Windows Vistaでは、ネットワークの状況に応じて、この3種類のプロファイルが利用される。
  デフォルトではこのように3種類とも選択されているが、安全性を考えると、パブリックの場合は不許可にしておくのがよいだろう。

受信規則に名前を付ける
ウィザードの最後では、作成したルールに適当な名前を付けておく。
  ここでは「icmpv4-ping」としてみた。

 以上で設定作業は終了である。[完了]ボタンをクリックすると、受信規則が作成され、すぐにpingに対する応答が有効になっているであろう。

規則の有効化と無効化

 作成した規則を一時的に無効にするには、規則を選んで右クリックし、ポップアップ・メニューから[規則の無効化]を選べばよい。[規則の有効化]を選ぶと、無効化されている規則(規則名の先頭のアイコンがグレーになっているもの)を有効にできる。

追加された受信規則
追加された規則を一時的に無効にしたり、有効に戻したりできる。
  一時的に無効化できる。

既存の規則を変更してpingを受け付ける

 以上では、手動でpingに対する応答規則を作成したが、実はあらかじめping向けの規則は定義されている。ただしネットワーク環境(およびVista導入時のネットワークの設定など)によっては無効化されているので、必要ならば手動で有効化すればよい。だが上記の方法と違い、ICMPのEchoのみを制御する規則なので、同時にICMPのリダイレクト(ICMP redirect)やあて先不到達(destination unreachable)などを許可したくても、変更できない(参考TIPS「ICMPリダイレクト使用時のファイアウォール設定に注意」)。

 ICMPのEcho要求の受信を許可する規則は「ファイルとプリンタの共有(エコー要求 - ICMPv4 受信)」という名前が付けられている。受信規則のリストを下の方へスクロールしていくとこの規則が見つかるはずなので、ダブルクリックして開く。ただしシステムの構成などによっては、1つの規則ではなく、プロファイル別に2つもしくは3つの規則に分かれていることもある。プロファイルとは何かとか、現在のプロファイルの調べ方については、TIPS「Windowsファイアウォールのプロファイルを知る」を参照していただきたい。

ICMP Echoのためのデフォルト規則
ICMP Echoを受信するために、あらかじめこの規則が用意されているが、カスタマイズできる項目は少ない。
  あまりカスタマイズはできない。
  これをオンにすると、規則が有効になる。

 [有効]のチェック・ボックスをオンにするとこの規則が有効になり、pingコマンドに応答するようになるはずである。End of Article

プロファイルの確認と変更
この例では、プライベート・プロファイルでのみ有効になっているが、現在のネットワーク・プロファイルと異なる場合は、必要に応じて、別の受信規則を開くか、プロファイルの設定を変更する。
  アクティブなプロファイル。必要なら[ドメイン]や[パブリック]のチェック・ボックスもオンにする。

関連記事(Windows Server Insider)
Windows TIPS:Windows Vistaのファイアウォールでアウトバウンド通信をブロックする
Windows TIPS:Windows Vistaのファイアウォール・ログを有効にする
Windows TIPS:Windowsファイアウォールのプロファイルを知る
Windows TIPS:pingでネットワーク・トラブルの原因を調査する
Windows TIPS:pingを繰り返し実行させる
基礎から学ぶWindowsネットワーク――ICMPメッセージ
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間