今回も前回に引き続き、Windows Server 2003用のRRAS(Rounting and Remote Access Service)を取り上げる。
WindowsサーバのRRASには、もともと入力方向と出力方向に個別に設定可能な「静的パケットフィルタ」という機能がある。Windows Server 2003のRRASではさらに、ベーシックファイアウォールという機能が加わったが、これは早い話がWindows XPのICF(Internet Connection Firewall)と同等の機能を提供するものである。LANとインターネットの境界に設置したサーバでRRASを動作させてNATルータとして使う際に、インターネット側のネットワーク接続設定に対して適用するのが一般的な用法だ。
ベーシックファイアウォールとNATの有効化
ベーシックファイアウォールの設定は、以下の手順で行う。
(1)[ルーティングとリモートアクセス]管理ツールを起動する。
(2)左側のツリー画面で、[(サーバ名)]-[IPルーティング]-[NAT/ベーシックファイアウォール]を選択する。
(3)続いて、[操作]メニュー、または右側の一覧で右クリックして[新しいインタフェース]を選択する。
(4)続いて表示するダイアログで、ベーシックファイアウォールの適用対象となるネットワーク接続設定を選択する。前述したように、通常はインターネット側のネットワーク接続設定を使用するが、必要であればLAN側のネットワーク接続設定を選択することもできる。
(5)続いて、ベーシックファイアウォールの設定画面を表示する。ここで、[インターネットに接続されたパブリックインタフェース]を選択する。さらに、[このインタフェースでNATを有効にする]チェックボックスと、[このインタフェースでベーシックファイアウォールを有効にする]チェックボックスもオンにする。
(6)[OK]をクリックしてダイアログを閉じる。
なお、(5)のダイアログで[ベーシックファイアウォールのみ]を選択すると、NATを使用せずに、ファイアウォール機能だけを利用できる。これは、NATルータではなく、アドレス変換を伴わないローカルルータとして動作させる際に使用する選択肢である。
ベーシックファイアウォールのパケットフィルタ設定
ここまでの操作によってベーシックファイアウォールが有効になるが、さらに細かくフィルタ指定を行いたい場合、入力方向と出力方向について、個別にパケットフィルタを設定する。いずれも、(5)のダイアログにある[入力フィルタ][出力フィルタ]をクリックすると表示するダイアログで設定する。
[入力フィルタ][出力フィルタ]のどちらをクリックしても、表示するダイアログの内容は同じである。つまり、発信元アドレス・宛先アドレス情報・ポート番号といった情報を使って、フィルタの設定を行うものである。以下にダイアログの内容を示す。
最初はフィルタの登録がないので、[新規]をクリックする。すると、以下のダイアログを表示する。
フィルタ追加時に使用するダイアログ。[発信元ネットワーク][宛先ネットワーク]のうち、条件設定に使用する方のチェックボックスをオンにしてから、IPアドレス、サブネットマスク、プロトコル、といった条件を指定する |
[プロトコル]リストボックスには以下の選択肢がある。
- TCP (発信元ポート番号と宛先ポート番号のうち、片方、あるいは両方の指定が可能)
- TCP[確立済み] (発信元ポート番号と宛先ポート番号のうち、片方、あるいは両方の指定が可能)
- UDP (発信元ポート番号と宛先ポート番号のうち、片方、あるいは両方の指定が可能)
- ICMP (ICMPの種類とICMPコードの指定が可能)
- 任意 (何も指定できない)
- その他 (ポート番号ではなくプロトコル番号を条件にする場合に使用する)
その他の設定項目
ベーシックファイアウォール設定ダイアログには、[NAT/ベーシックファイアウォール]以外に、[アドレスプール][サービスとポート][ICMP]といったタブがある。
[アドレスプール]は、NATがアドレス変換の対象にするグローバルIPアドレス(インターネット側)が複数存在する際に、対象となるアドレス範囲を指定するために用いる。設定を行うには[追加]をクリックして、ISPによって割り当てられたアドレス範囲を指定する。インターネット側のグローバルIPアドレスが1個しかない場合は、何も指定しなくてよい。
続いて表示するダイアログで、開始アドレス、サブネットマスク、終了アドレスを指定する |
[サービスとポート]タブは、ベーシックファイアウォールを通過させる通信アプリケーションを指定する。一覧にあるものについては、チェックボックスをオンにすると通過を許可する。一覧にない通信アプリケーションでも、[追加]をクリックしてポート番号やプロトコルの指定を行えば、追加登録が可能だ。
[ICMP]タブでは、pingのように、ICMPを使用する通信に対する挙動を指定する。初期設定ではすべてのチェックボックスがオフになっているので、この場合、pingを打っても応答しない。つまり、実際には通信が可能であっても、ここの設定次第でpingが通らない事態があり得るわけだ。
そこで、[着信したエコー要求メッセージ数]をオンにすると、pingに対して応答するようになる。もっとも、ping of death攻撃というものもあるので、インターネット側についてはpingに応答しないほうが良いだろう。