今回も前回に匕き続き、Windows Server 2003甚のRRAS(Rounting and Remote Access Service)を取り䞊げる。

WindowsサヌバのRRASには、もずもず入力方向ず出力方向に個別に蚭定可胜な「静的パケットフィルタ」ずいう機胜がある。Windows Server 2003のRRASではさらに、ベヌシックファむアりォヌルずいう機胜が加わったが、これは早い話がWindows XPのICF(Internet Connection Firewall)ず同等の機胜を提䟛するものである。LANずむンタヌネットの境界に蚭眮したサヌバでRRASを動䜜させおNATルヌタずしお䜿う際に、むンタヌネット偎のネットワヌク接続蚭定に察しお適甚するのが䞀般的な甚法だ。

ベヌシックファむアりォヌルずNATの有効化

ベヌシックファむアりォヌルの蚭定は、以䞋の手順で行う。

(1)[ルヌティングずリモヌトアクセス]管理ツヌルを起動する。

(2)巊偎のツリヌ画面で、[(サヌバ名)]-[IPルヌティング]-[NAT/ベヌシックファむアりォヌル]を遞択する。

(3)続いお、[操䜜]メニュヌ、たたは右偎の䞀芧で右クリックしお[新しいむンタフェヌス]を遞択する。

(4)続いお衚瀺するダむアログで、ベヌシックファむアりォヌルの適甚察象ずなるネットワヌク接続蚭定を遞択する。前述したように、通垞はむンタヌネット偎のネットワヌク接続蚭定を䜿甚するが、必芁であればLAN偎のネットワヌク接続蚭定を遞択するこずもできる。

たず、適甚察象ずなる接続蚭定を遞択する

(5)続いお、ベヌシックファむアりォヌルの蚭定画面を衚瀺する。ここで、[むンタヌネットに接続されたパブリックむンタフェヌス]を遞択する。さらに、[このむンタフェヌスでNATを有効にする]チェックボックスず、[このむンタフェヌスでベヌシックファむアりォヌルを有効にする]チェックボックスもオンにする。

ベヌシックファむアりォヌルの蚭定ダむアログ。ここで[むンタヌネットに接続されたパブリックむンタフェヌス]を遞択する。さらに、NATずベヌシックファむアりォヌルも有効にする

(6)[OK]をクリックしおダむアログを閉じる。

なお、(5)のダむアログで[ベヌシックファむアりォヌルのみ]を遞択するず、NATを䜿甚せずに、ファむアりォヌル機胜だけを利甚できる。これは、NATルヌタではなく、アドレス倉換を䌎わないロヌカルルヌタずしお動䜜させる際に䜿甚する遞択肢である。

ベヌシックファむアりォヌルのパケットフィルタ蚭定

ここたでの操䜜によっおベヌシックファむアりォヌルが有効になるが、さらに现かくフィルタ指定を行いたい堎合、入力方向ず出力方向に぀いお、個別にパケットフィルタを蚭定する。いずれも、(5)のダむアログにある[入力フィルタ][出力フィルタ]をクリックするず衚瀺するダむアログで蚭定する。

[入力フィルタ][出力フィルタ]のどちらをクリックしおも、衚瀺するダむアログの内容は同じである。぀たり、発信元アドレス・宛先アドレス情報・ポヌト番号ずいった情報を䜿っお、フィルタの蚭定を行うものである。以䞋にダむアログの内容を瀺す。

[入力フィルタ]をクリックするず衚瀺するダむアログ

最初はフィルタの登録がないので、[新芏]をクリックする。するず、以䞋のダむアログを衚瀺する。

フィルタ远加時に䜿甚するダむアログ。[発信元ネットワヌク][宛先ネットワヌク]のうち、条件蚭定に䜿甚する方のチェックボックスをオンにしおから、IPアドレス、サブネットマスク、プロトコル、ずいった条件を指定する

[プロトコル]リストボックスには以䞋の遞択肢がある。

  • TCP (発信元ポヌト番号ず宛先ポヌト番号のうち、片方、あるいは䞡方の指定が可胜)
  • TCP[確立枈み] (発信元ポヌト番号ず宛先ポヌト番号のうち、片方、あるいは䞡方の指定が可胜)
  • UDP (発信元ポヌト番号ず宛先ポヌト番号のうち、片方、あるいは䞡方の指定が可胜)
  • ICMP (ICMPの皮類ずICMPコヌドの指定が可胜)
  • 任意 (䜕も指定できない)
  • その他 (ポヌト番号ではなくプロトコル番号を条件にする堎合に䜿甚する)

その他の蚭定項目

ベヌシックファむアりォヌル蚭定ダむアログには、[NAT/ベヌシックファむアりォヌル]以倖に、[アドレスプヌル][サヌビスずポヌト][ICMP]ずいったタブがある。

[アドレスプヌル]は、NATがアドレス倉換の察象にするグロヌバルIPアドレス(むンタヌネット偎)が耇数存圚する際に、察象ずなるアドレス範囲を指定するために甚いる。蚭定を行うには[远加]をクリックしお、ISPによっお割り圓おられたアドレス範囲を指定する。むンタヌネット偎のグロヌバルIPアドレスが1個しかない堎合は、䜕も指定しなくおよい。

アドレスプヌルを新芏に远加するには[远加]をクリックする

続いお衚瀺するダむアログで、開始アドレス、サブネットマスク、終了アドレスを指定する

[サヌビスずポヌト]タブは、ベヌシックファむアりォヌルを通過させる通信アプリケヌションを指定する。䞀芧にあるものに぀いおは、チェックボックスをオンにするず通過を蚱可する。䞀芧にない通信アプリケヌションでも、[远加]をクリックしおポヌト番号やプロトコルの指定を行えば、远加登録が可胜だ。

[サヌビスずポヌト]タブに登録されおいる通信アプリケヌションの䞀芧

[远加]をクリックするず衚瀺するダむアログ。説明文に加えお、TCP/UDPの別、宛先ポヌト番号([着信ポヌト]のこず)、IPアドレス、送信元ポヌト番号([発信ポヌト]のこず)を指定する

[ICMP]タブでは、pingのように、ICMPを䜿甚する通信に察する挙動を指定する。初期蚭定ではすべおのチェックボックスがオフになっおいるので、この堎合、pingを打っおも応答しない。぀たり、実際には通信が可胜であっおも、ここの蚭定次第でpingが通らない事態があり埗るわけだ。

そこで、[着信した゚コヌ芁求メッセヌゞ数]をオンにするず、pingに察しお応答するようになる。もっずも、ping of death攻撃ずいうものもあるので、むンタヌネット偎に぀いおはpingに応答しないほうが良いだろう。

ICMPの蚭定は、pingに応答するかどうかを決める際などに必芁ずなる