Windows TIPS ディレクトリ

ルーティング/フィルタリング

更新日:2006/03/31

 サブディレクトリ
 ルーティング/フィルタリング
Windows 2000/Windows XPのICSを活用する(NATを利用する方法)
インターネット接続共有機能を使えば、1台のインターネット接続を通じて、家庭内やSOHOのLAN上の複数のマシンから、同時にインターネットを利用することができる。/ICSを利用するには、システムにイーサネット・カードを2枚装着して、インターネット側のインターフェイスでICS機能を有効にするだけでよい。/Windows 2000では、セキュリティ対策としてRRASのパケット・フィルタ機能も設定しておきたい。/Windows XPはファイアウォール機能も持っているので、より便利に、安全に利用することができる。
ルーティング・テーブルを操作する
TCP/IPではルーティング・テーブルに基づいてIPパケットのルーティング処理を行っている。ルーティング・テーブルを表示するにはroute printコマンドを使う。 / ルート情報を追加するにはroute addコマンドを使う。 / ルート情報を削除するにはroute deleteコマンドを使い、デフォルト・ルートを削除するにはroute -fを使う。
デフォルト・ゲートウェイは1つのみ有効
デフォルト・ゲートウェイ指定は1つのみが有効である。 / 複数指定すると、最初のものが無効な場合にのみ、代替として利用される。 / 2つのデフォルト・ルートを使いたければ、ルーティング指定を明示的に行う必要がある。
tracertでネットワークの経路を調査する
tracertを使うと、目的のホストまでの途中で通過したルータのIPアドレスや、そのルータまでのパケットの応答時間を調べることができる。 / この値を調べることにより、指定されたホストまでのネットワークの経路やルーティングの状態、混雑の具合などが分かる。 / ただしtracertに応答しないホストも多く、その場合は応答時間は表示されない。
高速なネットワーク・インターフェイスを自動的に選択可能にする
無線LANとイーサネットなど、PCに複数のインターフェイスを装備している場合には、常に高速な方を優先して利用できると便利である。 /ネットワーク・インターフェイスのメトリック値を設定すると、このような使い分けが可能になる。 / ただしイーサネット・ケーブルを抜き差しすると現在通信中のアプリケーションがエラーを起こすので、タイミングには注意が必要である。
VPN接続時にブラウザやメール・アクセスがエラーになる
インターネットVPN接続を行うためには、ネットワークの接続ウィザードでVPNの接続先を指定するだけでよい。 / VPN接続を行うと、デフォルトではVPNの接続先ネットワークがデフォルト・ゲートウェイとなる。これにより、場合によっては、Webアクセスやメール・アクセスなど、それまで可能だったサービスが利用できなくなる場合がある。 / VPN接続時にもデフォルト・ゲートウェイを変更したくなければ、VPN接続の設定を一部変更する
インターネット常時接続時の基本セキュリティ設定
追加投資不要で、Windows 2000の標準機能だけで行う基本セキュリティ設定法。インターネット常時接続環境でWindows 2000を使用する場合には、最低でもこの程度の防衛は必須。典型的なネットワーク構成を元に、設定法を具体的に解説する。
pingでネットワーク・トラブルの原因を調査する
pingはTCP/IPにおける最も基本的で、かつ重要なコマンドである。pingが通るかどうかで相手先ノードが稼働しているかどうか、そこまでの通信経路が正しいかどうかを検査することができる。/pingに応答すれば、そのホストは正常に動作しており、そこまでのネットワークのルーティングが正しく設定されているということが分かる。/ネットワークの到達可能性を調べるには、まずはローカルのネットワーク上のホストから始め、順次遠くのホストへとping先を変えながら調べるようにする。
FTPの標準ポート番号を変更する
セキュリティ対策や複数のFTPサイトのホスティングのために、標準のFTPポート番号を変更することができる。 / エクスプローラでアクセスする場合は、ポート番号を明示的に指定する。 / ftpコマンドの場合は、openコマンドでポート番号を指定する。 / ファイアウォールを利用している場合は、パッシブ・モードにするなどの対策が必要になる。
IPルーティングを有効にする方法(レジストリ設定編)
1台のPCに複数のネットワーク・インターフェイスを装着すれば、IPルータとして利用することができる。 / Windows OSではデフォルトでIPルーティング機能が無効になっている。だがレジストリを変更するか、サーバOSに付属のGUIツールを使って設定を変更すれば、IPルーティングを有効にすることができる。
ネットワークのルーティングは双方向で設定する
ルータはIPパケットのあて先IPアドレスのみを見てルーティング処理を行っている。 / ルータに片方向のルーティング情報しか設定されていないと、パケットは相手には届くが、戻ってくることができない。 / ルーティング情報をセットする場合は、片方向だけでなく、逆方向からも到達できるように、経路途中のルータに設定しておく必要がある。
ICMPリダイレクト使用時のファイアウォール設定に注意
例外的なルート情報を追加するには、各クライアント・コンピュータ上で作業をする必要があり、面倒である。 / だがICMPリダイレクト・メッセージを受信すると、動的なルーティング・エントリが作成され、一時的にルーティング情報が利用可能になるので、これを利用するとよい。 / Windowsファイアウォールのデフォルト設定では、ICMPリダイレクト・メッセージの受信が拒否されるようになっている。 / ICMPリダイレクトの受信を許可するには、ファイアウォールの設定を変更する。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間