2009年03月12日

Windows 2000 内蔵のファイアーウォール機能 パケットフィルターを設定しよう

先日紹介した TCP/IPフィルタリングは片方向だった上に、全アダプターで設定が共通で使い勝手がいまいちでした。

でも、内蔵のパケットフィルターを使うとより細かい設定が可能になります。
Windows 2000 Serverの場合は、プログラム>管理ツール>ルーティングとリモートアクセスからGUIで設定ができるのですが、Professionalの場合は、「プロパティを表示するアクセス許可がありません」と言われて設定できません。

そんなわけで、コマンドプロンプトから設定する方法を紹介します。


svcrm
まず、サービスのRemote Registry Service と Routing and Remote Access が 自動 且つ、開始になっていることを確認してください。
でないと機能を使用することができません。

使用するのは netsh routing ip の子コマンドです。
コマンドプロンプトに入ったら、 show interface を実行してみます。
C:\>netsh routing ip show filter
State       Type         Interface
----------  -----------  ---------------------------------------------
有効          ループバック       ループバック
有効          内部           内部
有効          専用           ローカル エリア接続
有効          専用           ローカル エリア接続 2
接続したいインターフェイスがなければ追加しなくてはいけません。

その場合は、
C:\>netsh routing ip add interface name="ローカル エリア接続" state=enable
などと入力します
『ローカル エリア接続』と入力が面倒なら、ネットワークとダイヤルアップ接続からリネームしてしまっても構いません。

さて、いよいよファイアーウォールもどきのパケットフィルターの設定です。
show filter コマンドで現在のフィルターの状態を確認できます。
C:\>netsh routing ip show filter
Input           Output          Demand Dial     Frag. Check     Interface
---------       ----------      -------------   --------------  ----------------
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            ループバック
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            内部
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            ローカル エリア接続
0   (FORWARD)   0   (FORWARD)   0   (FORWARD)   無効            ローカル エリア接続 2
Input/Output/着信接続 でそれぞれ Forward(指定パケット拒否)、Drop(指定パケット許可)が設定できます。

input は Telnet サーバーや VNC、 FTPサーバーのような接続待機するソフトで、ウィルスのバックドアがよく使用します。

通常使う範囲では、output を FORWARDにして、 input を DROPにすると言った使い方があります。
netsh routing ip set filter action=forward name="ローカル エリア接続" filtertype=output
netsh routing ip set filter action=drop name="ローカル エリア接続" filtertype=input
使うソフトと使用するポートがわかっているのなら、すべて drop 似してしまっても構いません。

例えば、こんな風に設定を追加します。
netsh routing ip add filter name="ローカル エリア接続" output 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 80
これは、設定がdropの時は、Webブラウザでの接続を許可。
forwardの時は、Webブラウザの接続を禁止と言うことになります。
ちなみにパラメータの意味は nameの後が、インターフェース名、接続種別(input/output/dial)、ソースアドレス、ソースマスク、相手アドレス、相手側マスク、プロトコル(TCP/UDP) ソースポート 相手先ポート

netsh routing ip delete filter name="ローカル エリア接続" output 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 80
add を delete にすれば設定を削除できます。

設定を確認する場合は show filter name を使用します
c:\>netsh routing ip show filter name="ローカル エリア接続"
インターフェイス ローカル エリア接続 のフィルタ情報
------------------------------------------------------------------

フラグメント チェックは 無効 です。

フィルタの種類        : INPUT
既定の操作            : FORWARD

    Src Addr       Src Mask         Dst Addr       Dst Mask      Proto  Src Port  Dst Port
------------------------------------------------------------------------------------------
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    6666

フィルタの種類        : OUTPUT
既定の操作            : DROP

    Src Addr       Src Mask         Dst Addr       Dst Mask      Proto  Src Port  Dst Port
------------------------------------------------------------------------------------------
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    21
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    22
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    23
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    25
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    80
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    110
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    587
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    1863
        0.0.0.0         0.0.0.0         0.0.0.0         0.0.0.0    TCP       0    5050
        0.0.0.0         0.0.0.0        192.168.123.0  255.255.255.0 ANY  0     0
デマンド ダイヤル フィルタが構成されていません。
例えば、これは バックドアでよく使われる IRCサーバー 6666 を禁止し、FTP/Mail/Telnet/Web/MSN Messenger/Yahoo Messenger と ローカルエリア内の192.168.123.xxx のアクセスだけ許可すると言う設定です。

これらの設定は、再起動しても有効なので、一度設定してしまえば、システムを再インストールするまで再設定の必要はありません。

netsh 以下の routing ip 〜をテキスト化して列挙して、設定ファイルにしておけば、 netsh -f 設定ファイル名で取り込むことが可能なので、複数のPCでまとめて設定したい時には便利です。

稀に、netsh routing ip add interface name="ローカル エリア接続" state=enable が
次のインターフェイスがありません: {xxxxx-xxxxx-xxxxx-xxxxx-xxxxx}
この名前のインターフェイスはルーターに登録されていません。
と言われて、通らないケースがあったのですが。
その場合は、NICのドライバをいったん削除して、再インストールしたほうがいいかもしれません。 うちは Ipv6を入れたあたりからおかしくなったので、システムをリカバリすることになりました。

まぁ、このくらいのパケットフィルタ機能は、いまどきのルーターには装備されてることが多いので、そちらで設定すると言うのも手なのですが、重いファイアーウォール製品をインストールするよりは、ウィルス対策ソフトに任せて、パケットフィルタで防衛すると言うのもいい方法だと思います。


blackwingcat at 11:21│Comments(3)TrackBack(0) | このエントリーをはてなブックマークに追加 mixiチェック |
このエントリーをはてなブックマークに追加
Windows2000 | Security

Twitter Feedback

トラックバックURL

この記事へのコメント

1. Posted by 通りすがりさん   2009年07月14日 23:07
記事がバグってますよw
2. Posted by blackwingcat   2009年07月15日 18:36
有難うございます。
他にも化けてる個所があるかも(^^;
3. Posted by ああああ   2014年04月23日 18:43
TCP Monitor Plusを使えば簡単ですよ。

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール

黒翼猫

【募集】Windows 2000で動かしたいソフト/ハードを貸してくださる方、コメントかTwitterでご連絡を。
【BM】はブクマ推奨記事です

My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    最近のアクセス数

    Win2000お勧め
    お勧め記事
    Misskey Win95対応Client
    ウイルス対策ソフトの評価の秘密
    Windows 2000でMinecraft
    WLU Tool
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ

    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation(寄付)