今回も前回に引き続き、Windows Server 2003用のRRAS(Rounting and Remote Access Service)を取り上げる。

WindowsサーバのRRASには、もともと入力方向と出力方向に個別に設定可能な「静的パケットフィルタ」という機能がある。Windows Server 2003のRRASではさらに、ベーシックファイアウォールという機能が加わったが、これは早い話がWindows XPのICF(Internet Connection Firewall)と同等の機能を提供するものである。LANとインターネットの境界に設置したサーバでRRASを動作させてNATルータとして使う際に、インターネット側のネットワーク接続設定に対して適用するのが一般的な用法だ。

ベーシックファイアウォールとNATの有効化

ベーシックファイアウォールの設定は、以下の手順で行う。

(1)[ルーティングとリモートアクセス]管理ツールを起動する。

(2)左側のツリー画面で、[(サーバ名)]-[IPルーティング]-[NAT/ベーシックファイアウォール]を選択する。

(3)続いて、[操作]メニュー、または右側の一覧で右クリックして[新しいインタフェース]を選択する。

(4)続いて表示するダイアログで、ベーシックファイアウォールの適用対象となるネットワーク接続設定を選択する。前述したように、通常はインターネット側のネットワーク接続設定を使用するが、必要であればLAN側のネットワーク接続設定を選択することもできる。

まず、適用対象となる接続設定を選択する

(5)続いて、ベーシックファイアウォールの設定画面を表示する。ここで、[インターネットに接続されたパブリックインタフェース]を選択する。さらに、[このインタフェースでNATを有効にする]チェックボックスと、[このインタフェースでベーシックファイアウォールを有効にする]チェックボックスもオンにする。

ベーシックファイアウォールの設定ダイアログ。ここで[インターネットに接続されたパブリックインタフェース]を選択する。さらに、NATとベーシックファイアウォールも有効にする

(6)[OK]をクリックしてダイアログを閉じる。

なお、(5)のダイアログで[ベーシックファイアウォールのみ]を選択すると、NATを使用せずに、ファイアウォール機能だけを利用できる。これは、NATルータではなく、アドレス変換を伴わないローカルルータとして動作させる際に使用する選択肢である。

ベーシックファイアウォールのパケットフィルタ設定

ここまでの操作によってベーシックファイアウォールが有効になるが、さらに細かくフィルタ指定を行いたい場合、入力方向と出力方向について、個別にパケットフィルタを設定する。いずれも、(5)のダイアログにある[入力フィルタ][出力フィルタ]をクリックすると表示するダイアログで設定する。

[入力フィルタ][出力フィルタ]のどちらをクリックしても、表示するダイアログの内容は同じである。つまり、発信元アドレス・宛先アドレス情報・ポート番号といった情報を使って、フィルタの設定を行うものである。以下にダイアログの内容を示す。

[入力フィルタ]をクリックすると表示するダイアログ

最初はフィルタの登録がないので、[新規]をクリックする。すると、以下のダイアログを表示する。

フィルタ追加時に使用するダイアログ。[発信元ネットワーク][宛先ネットワーク]のうち、条件設定に使用する方のチェックボックスをオンにしてから、IPアドレス、サブネットマスク、プロトコル、といった条件を指定する

[プロトコル]リストボックスには以下の選択肢がある。

  • TCP (発信元ポート番号と宛先ポート番号のうち、片方、あるいは両方の指定が可能)
  • TCP[確立済み] (発信元ポート番号と宛先ポート番号のうち、片方、あるいは両方の指定が可能)
  • UDP (発信元ポート番号と宛先ポート番号のうち、片方、あるいは両方の指定が可能)
  • ICMP (ICMPの種類とICMPコードの指定が可能)
  • 任意 (何も指定できない)
  • その他 (ポート番号ではなくプロトコル番号を条件にする場合に使用する)

その他の設定項目

ベーシックファイアウォール設定ダイアログには、[NAT/ベーシックファイアウォール]以外に、[アドレスプール][サービスとポート][ICMP]といったタブがある。

[アドレスプール]は、NATがアドレス変換の対象にするグローバルIPアドレス(インターネット側)が複数存在する際に、対象となるアドレス範囲を指定するために用いる。設定を行うには[追加]をクリックして、ISPによって割り当てられたアドレス範囲を指定する。インターネット側のグローバルIPアドレスが1個しかない場合は、何も指定しなくてよい。

アドレスプールを新規に追加するには[追加]をクリックする

続いて表示するダイアログで、開始アドレス、サブネットマスク、終了アドレスを指定する

[サービスとポート]タブは、ベーシックファイアウォールを通過させる通信アプリケーションを指定する。一覧にあるものについては、チェックボックスをオンにすると通過を許可する。一覧にない通信アプリケーションでも、[追加]をクリックしてポート番号やプロトコルの指定を行えば、追加登録が可能だ。

[サービスとポート]タブに登録されている通信アプリケーションの一覧

[追加]をクリックすると表示するダイアログ。説明文に加えて、TCP/UDPの別、宛先ポート番号([着信ポート]のこと)、IPアドレス、送信元ポート番号([発信ポート]のこと)を指定する

[ICMP]タブでは、pingのように、ICMPを使用する通信に対する挙動を指定する。初期設定ではすべてのチェックボックスがオフになっているので、この場合、pingを打っても応答しない。つまり、実際には通信が可能であっても、ここの設定次第でpingが通らない事態があり得るわけだ。

そこで、[着信したエコー要求メッセージ数]をオンにすると、pingに対して応答するようになる。もっとも、ping of death攻撃というものもあるので、インターネット側についてはpingに応答しないほうが良いだろう。

ICMPの設定は、pingに応答するかどうかを決める際などに必要となる