今では当たり前に Windows に付属しているパーソナル・ファイアーウォール。しかし Windows 2000 Server では別途 ISA ( Internet Security ＆ Acceleration ) Server を購入しないとその機能を利用することが出来ません。

2000 Server 対応のフリーのファイアーウォール・ソフトを調べてみると、中国製の

Filseclab Personal Firewall

があるのみ ...... しかし使うにはとっても不安です (・ ? ・ ；

そこで 2000 Server に標準で用意されている Routing and Remote Access ( RRAS ) サービスを利用してパケット フィルターで代用、制御することにしました。

2000 Server では GUI を使ってフィルタリングの設定が可能なようですが、かえって判り辛い部分もあり、ここでは netsh routing ip コマンドを使ってフィルターのルールを設定する方法について説明致します。

• Routing and Remote Access Service 開始
• パケットフィルターのルールの設定

☆ Routing and Remote Access Service 開始

[ スタート ] → [ 設定 ] → [ コントロールパネル ] → [ 管理ツール ] → [ サービス ] をダブルクリック。

Routing and Remote Access をダブルクリック、 " 無効を " を " 自動 " に切り替えます。

" 適用 " をクリックして " 開始 " ボタンをクリック、サービスを開始します。

" OK " をクリック、 仮想化 2000 Server を再起動して下さい。以上の作業は初回のみ必要。

再び [ 管理ツール ] を開き

" ルーティングとリモート アクセス " をダブルクリックします。

左サイドにあるサーバ名 ( ここでは W2KSRV ) を右クリック、" ルーティングとリモート アクセスの構成と有効化 " を選択します。

すると " ルーティングとリモートアクセス サーバーのセットアップウィザード " が開くので " 次へ " をクリック。

" インターネット接続サーバー " から " 手動で構成したサーバ " にチェックを変更します。

" 次へ " をクリックするとセットアップ ウィザード完了画面に変わるので " 完了 " をクリックしてウイザードを終了して下さい。

終了と同時に以下のダイアログが開きます。もちろん " はい " を選択。

ルーティングとリモートアクセス画面の右サイドが次のように変化します。

[ マイ コンピュータ ] → [ コントロールパネル ] → [ ネットワークとダイヤルアップ接続 ] を開き、" ローカル エリア接続 " を " LAN " にリネームしておいて下さい。これはコマンドを入力する際にめんどうな日本語をタイプするのを避けるためです。

☆ パケットフィルターのルールの設定

SSH 接続を例にとりパケットをフィルタリングする方法について説明致します。

SSH サービスを提供している Windows Server 2003 の IP アドレスは 192.168.11.86

クライアントである仮想 2000 Server の IP アドレスは 192.168.11.74 です。

※ SSH 接続の場合、入出力方向のどちらか一方がフィルタリングされていても通信 ( 接続 ) 出来ません。そのこともあわせてお読み下さい。

まずクライアント・コンピュータから SSH サーバーに接続出来ることを WinSCP 等を使って確認して下さい。実は RRAS のデフォルトでは全てのパケットを通すように設定されています。以下のコマンドを実行、確認して下さい。

C:¥>netsh routing ip show filter LAN

上記画像からもお判りのように、フィルターのルールが何も構成されていません。

そこで最初に全てのパケット ( 入力および出力 ) の通過を拒否するルールを作成します。

そのためのコマンドは

入力 ： C:¥>netsh routing ip set filter LAN input drop

出力 ： C:¥>netsh routing ip set filter LAN output drop

C:¥>netsh routing ip show filter LAN を実行して再びフィルターの状態を確認して下さい。

この状態で SSH クライアントソフトを使って 仮想 2000 Server から SSH サーバーへアクセスを試みると、以下のような接続エラーが現れるはずです。

このことはまさに SSH のパケットがフィルターによってブロックされたことの証しです。

次に SSH の出力側のパケットのみを通過させてみましょう。コマンドは ( 改行せず一行で )

C:¥>netsh routing ip add filter LAN output
192.168.11.74 255.255.255.255 192.168.11.86 255.255.255.255
TCP 0 22

実行した後 SSH サーバーに接続を試みるとやはり先程と同様、タイムアウトになってしまいます。

つまり出力側のパケットだけを許可したとしても SSH プロトコルは成立しないということを意味しています。

とりあえず今付け加えたルールを一度破棄して下さい。破棄するには以下のコマンドを実行します。

C:¥>netsh routing ip delete filter LAN output
192.168.11.74 255.255.255.255 192.168.11.86 255.255.255.255
TCP 0 22

" add " が " delete " に変わっただけです。

念のため C:¥>netsh routing ip show filter LAN を実行して全てのパケットを拒否する状態になったかを確認しておきます。

今度は入力側のパケットのみの通過を許可してみましょう。次のコマンドをタイプして下さい。

C:¥>netsh routing ip add filter LAN input
192.168.11.86 255.255.255.255 192.168.11.74 255.255.255.255
TCP 22 0

改めて、SSH サーバーへアクセスすると ..... 接続出来ましたか。出来ませんよね。

以上のことからどちらか一方だけのパケットを許可したとしても SSH 接続は成立しないことが判りました。そこで入力および出力を同時に許可したらどうなるでしょう。結果はもうお判りですネ。

今作ったルールを削除しておいて下さい。コマンドは

C:¥>netsh routing ip delete filter LAN input
192.168.11.86 255.255.255.255 192.168.11.74 255.255.255.255
TCP 22 0

ここでも全てのパケットが拒否されているか以下のコマンドを実行、確認しておきましょう。

C:¥>netsh routing ip show filter LAN

それでは双方向のパケットを許可するために次のコマンドを個別に、しかも連続で実行します。

C:¥>netsh routing ip add filter LAN input
192.168.11.86 255.255.255.255 192.168.11.74 255.255.255.255
TCP 22 0

C:¥>netsh routing ip add filter LAN output
192.168.11.74 255.255.255.255 192.168.11.86 255.255.255.255
TCP 0 22

SSH サーバーに接続して下さい。

デフォルトの状態に戻すにはまず

C:¥>netsh routing ip delete filter LAN input
192.168.11.86 255.255.255.255 192.168.11.74 255.255.255.255
TCP 22 0

C:¥>netsh routing ip delete filter LAN output
192.168.11.74 255.255.255.255 192.168.11.86 255.255.255.255
TCP 0 22

を実行。さらに

C:¥>netsh routing ip set filter LAN input forward

C:¥>netsh routing ip set filter LAN output forward

を実行します。forward は通過させるという意味です。これでデフォルト状態に戻りました。

かなり操作性に慣れたのではないでしょうか。

実際にはその他のポートについてもきっちり詰めていく必要があります。

全ての IP アドレス ( 言い方を替えれば不特定 ) を指定する場合には

0.0.0.0 0.0.0.0

として下さい。

例えば Web サービスに対する通信、すなわち不特定な IP アドレスからのパケットを許可するときなどに使います。下記参照。

C:¥>netsh routing ip add filter LAN input
0.0.0.0 0.0.0.0 192.168.11.74 255.255.255.255
TCP 0 80

C:¥>netsh routing ip add filter LAN output
192.168.11.74 255.255.255.255 0.0.0.0 0.0.0.0
TCP 80 0

全ての IP アドレスからの ping 要求を受け取る

C:¥>netsh routing ip add filter LAN input 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp type=8 code=0

他ホストへのpingの結果を受け取る

C:¥>netsh routing ip add filter LAN input 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp type=0 code=0

まず別のクライアント・コンピュータ ( 192.168.11.4 ) から 仮想化 2000 Server ( 192.168.11.74 ) へ ping を打ち、応答が返ってくることを確認します。

次に全ての入力のパケットを Drop 、すなわち拒否します。

C:¥>netsh routing ip set filter LAN input drop

この状態で仮想化 2000 Server に向かって ping を打つと

しっかりと拒否されているのが判ります。

全ての IP アドレスからの ping の要求を受け取るために

C:¥>netsh routing ip add filter LAN input 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 icmp type=8 code=0

改めて仮想化 2000 Server に向かって ping を打って下さい。

netsh routing ip コマンドは記述が長いので、ひょんなことでミスタイプしたりということがあります。そんなとき .....

ルーティングとリモートアクセスをデフォルトの状態に戻すコマンドは

C:¥>netsh routing ip reset filter LAN

実行後は [ 管理ツール ] を開き " ルーティングとリモート アクセス " をダブルクリック、左サイドにある W2KSRV を右クリック、" ルーティングとリモート アクセスの無効化 " を選択、そして改めて、" ルーティングとリモート アクセスの構成と有効化 " を実行し " ルーティングとリモートアクセス サーバーのセットアップウィザード " で再セットアップして下さい。