Windows のファイル共有による 自動接続を防ぐ
Windowsのネットワークでは、NetBIOS over TCP/IP プ ロ ト コ ル が 使 わ れ て い ま す 。 ネ ッ ト ワ ー ク 内 の NetBIOSパケットにより、自動接続してしまうことが あります。また、Windowsファイル共有やPersonal Webサーバ機能を使っている場合は、接続先側から覗 かれてしまう場合もあります。防ぎたい場合は、接続先 へNetBIOSパケットが出入りしないようにフィルタを 設定します。
ダイヤルアップ接続プロバイダにNetBIOSパケットを 一切通さない設定例
NetBIOS関係のポート137〜139に加えて、Windows 2000のファイル共有に使用するSMBプロトコルのポー ト445を出入り共に通さず、その他を通すように設定し ます。
コンソールコマンドの場合
ip filter 200022 reject-log * * udp,tcp 137-139 * ip filter 200023 reject-log * * udp,tcp * 137-139 ip filter 200024 reject-log * * udp,tcp 445 * ip filter 200025 reject-log * * udp,tcp * 445 ip filter 200099 pass-nolog * * * * * pp select 1
ip pp secure filter in 200022 200023 200024 200025 200099
ip pp secure filter out 200022 200023 200024 200025 200099
フィルタの設定例
ここでは、よく使われるフィルタの設定例を紹介しま す。例を参考に、実際使用している接続先やプライベー トIPアドレスに合わせて入力してください。
ここでは、下記の接続先条件を例に説明しています。
• PP01:ダイヤルアップによるプロバイダ接続
• PP02:LAN間接続(192.168.22.0/24)
• PP03:リモートアクセスユーザ
• LEASED:専用線接続(133.176.200.0/28)
• LAN:LANに接続したパソコン
• WAN:WANポート(インターネット)経由で接続され るパソコン
フィルタ設定の考えかた
フィルタは「接続先、IN/OUT、始点アドレスの始点ポー ト/終点アドレスの終点ポート、プロトコル、タイプ」と いう順序で構成されていますので、「どこから来た(へ行 く)、どこから始まるどんなパケットを、どうする」と日 本語で考えると、フィルタを作りやすくなります。
例1:プロバイダから来た、 すべてのNetBIOS関連の tcpとudpパケットを、 通さず記録しない
このフィルタは「PP01 IN * 137-138 tcp,udp reject-nolog」と表現されます。
つまり、「PP01(プロバイダ) IN(から来る) *(すべての)
137-138(NetBIOS関連) tcp,udp(tcpとudpパケット)
reject-nolog(通さずに記録しない)」ことになります。
例2:ADSLへ行く、 すべてのNetBIOS関連のtcpと udpパケットを、 通さず記録する
このフィルタは「wan OUT * 137-138 tcp,udp reject-log」と表現されます。
つまり、「wan(WANポートに接続された回線、この場 合はADSL) OUT(へ出ていく) *(すべての) 137-138
(NetBIOS関連) tcp,udp(tcpとudpパケット) reject-log
(通さずに記録する)」ことになります。
すこし難しいかもしれませんが、以下の設定例を通して フィルタ設定の考えかたに慣れて、本機のフィルタ機能 をぜひ使いこなしてください。
第
7
章
ファ イ ア ウォ ー ル 機 能 を 使 う
フィルタの設定例
ネットワーク時刻合わせによる 自動接続を防ぐ
NTPやSNTPサーバで時刻を合わせる機能では、ntpポ ートが使われます。ネットワーク内パソコンからネット ワーク時刻合わせを禁止したいときは、ntpポートのパ ケットを通さず、その他を通すように設定します。
restrictを指定すると、すでにプロバイダに接続してい るときは通しますが、切断中は通しませんので、ネット ワーク時刻合わせのためだけに自動接続することを防ぐ ことができます。
コンソールコマンドの場合
ip filter 200032 restrict-nolog * * tcp * 123 ip filter 200099 pass-nolog * * * * * pp select 1
ip pp secure filter out 200032 200099 ip pp secure filter in 200099 LAN間接続でWindowsファイル共有のみ通す設定例
NetBIOS関係のポート番号137〜138のパケットを出入 り共に通さず、ファイル共有に必要な139やその他を通 すように設定します。
コンソールコマンドの場合
ip filter 210022 reject-log * * udp,tcp 137-138 * ip filter 210023 reject-log * * udp,tcp * 137-138 ip filter 210024 reject-log * * udp,tcp 445 * ip filter 210025 reject-log * * udp,tcp * 445 ip filter 210099 pass-nolog * * * * * pp select 2
ip pp secure filter in 210022 210023 210024 210025 210099
ip pp secure filter out 210022 210023 210024 210025 210099
第
7
章
ファ イ ア ウォ ー ル 機 能 を 使 う
インターネット速度計による 自動接続を防ぐ
インターネット速度計ソフトは、icmpプロトコルで定 期的にpingを発信して応答速度を計測しています。イン ターネット速度計ソフトによる自動接続を禁止したいと きは、icmpプロトコルのパケットを通さず、その他を通 すように設定します。restrictを指定すると、すでにプロ バイダに接続しているときは通しますが、切断中は通し ませんので、インターネット速度計ソフトによる余計な 自動接続を防ぐことができます。
コンソールコマンドの場合
ip filter 200030 restrict-nolog * * icmp * * ip filter 200099 pass-nolog * * * * * pp select 1
ip pp secure filter out 200030 200099 ip pp secure filter in 200099
Netscape Communicator/Navigator 4.0 以降による自動接続を防ぐ
Netscape Communicator/Navigator 4.0以降では、終 了するときにtcpfinやtcprstプロトコルのパケットを発 する場合があり、自動接続の原因になっています。
Netscape Communicator/Navigator終了時の自動接続 を防ぎたいときは、tcpfinやtcprstプロトコルのパケッ トを通さず、その他を通すように設定します。restrictを 指定すると、すでにプロバイダに接続しているときは通 しますが、切断中は通しませんので、tcpfinやtcprstプロ トコルのパケットによる、余計な自動接続を防ぐことが できます。
コンソールコマンドの場合
ip filter 200026 restrict-log * * tcpfin * 80,21,119 ip filter 200027 restrict-log * * tcprst * 80,21,119 ip filter 200099 pass-nolog * * * * *
pp select 1
ip pp secure filter out 200026 200027 200099 ip pp secure filter in 200099
第
7
章
ファ イ ア ウォ ー ル 機 能 を 使 う
フィルタの設定例
特定のサーバをインターネットに 公開する
専用線でLAN内のサーバをインターネットに公開する場 合は、送信先IPアドレスによるフィルタを設定します。
不要なアクセスを防ぐため、サーバの種類によって公開 するポートもあわせて設定してください。
n
サーバを公開するには、その他にもルータやサーバの設定 が必要です。設定方法については、「外部にサーバを公開す る」(169ページ)をご覧ください。
サーバへのWWWとメールアクセスを通す設定例
コンソールコマンドの場合
ip filter 230004 pass-log 192.168.0.2 * udp,tcp * 80,110,113
pp select leased
ip pp secure filter in 230004