実験　 ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座 第2回　Windowsのファイル共有サービスをブロックする（3） デジタルアドバンテージ 2002/03/07

実際のブロードバンド・ルータの設定方法

　以下の画面は、前のページに記したフィルタ設定を実際のブロードバンド・ルータに反映しているところだ。実機としてはコレガ製BAR SW-4P Pro（ファームウェア：Ver.1.01）とルートテクノロジーのCAS2040（ファームウェア：Ver.5.00）を使用した。

コレガ製BAR SW-4P Proのフィルタ設定画面

これはWebブラウザを利用したBAR SW-4P Proの設定画面の1つだ。

TCP／UDPのポートを対象にフィルタを設定するメニュー。その上は、IPアドレスでフィルタを設定するためのメニューだ。それぞれ別個に設定できるが、両者を組み合わせた指定はできない 　 TCPとUDPのどちらかを選ぶ項目（本稿では「プロトコル」と表現している）。TCPとUDPを両方同時に指定することはできない 　 ポート番号を選択する項目。WWW（80番）やPOP3（110番）といった、よく使われるポート番号はプリセットされている。ここでは「ユーザー定義」を選び、で数値を入力できるようにする 　 ポート番号を入力する項目。で「ユーザー定義」を選んでから、ここに135、137、138、139、445といったポート番号を設定していく。「137〜139」という範囲指定はできないので1つずつ設定する必要がある

　

（BAR SW-4P Pro）設定可能なフィルタをすべて設定し終わった状態

この機種の場合、ポート番号は送信先のものしか指定できないため、送信元ポートが137番であるパケットをフィルタする設定はできない。また、設定したフィルタを実際に有効にするには、以下の画面のように別のメニューでの設定変更が必要だ。

　

（BAR SW-4P Pro）設定済みのフィルタを有効／無効にする画面

この機種の場合、各フィルタの設定だけでは有効にならず、ここで全フィルタの有効／無効を設定する必要がある。さらに、編集部で試した限りでは、この設定の後でルータ自身を再起動して初めてフィルタが有効になった。

フィルタの有効／無効を設定するためのメニュー 　 各フィルタを設定したら、このプルダウン・メニューで有効かまたは無効に設定する

ルートテクノロジー製CAS2040のフィルタ設定画面

これはWebブラウザを利用したCAS2040の設定画面である（Windowsアプリケーションの設定ツールもある）。大別して3種類のフィルタ設定が提供されている。

フィルタを設定するには、まずこの「パケットフィルタ」メニューを選ぶ 　 イーサネットのパケットに含まれるMACアドレスを対象にフィルタを設定するためのメニュー。DHCPなどでIPアドレスが変わってもPCを特定できる 　 IPアドレスを対象にフィルタを設定するためのメニュー 　 TCP／UDPのポート番号を対象にフィルタを設定するためのメニュー。本稿ではこのフィルタを利用する 　 設定したフィルタの一覧が表示される。フィルタの消去もここで行う

　

（CAS2020）TCP／UDPのポート番号によるフィルタの設定画面

残念ながらこの機種も、送信元のポート番号を指定できない（すべて送信先のポート番号の指定になる）。そのため、ポート137番に関するフィルタリング設定は完全には実現できない。

フィルタ（遮断）とフォワーディング（転送）の選択。ここでは該当するパケットを遮断すべく「Filter」を選ぶ 　 ポート番号の指定。この機種は範囲指定が可能なので、135と445は「単一指定」を、また137〜139は「範囲指定」を選んで設定すれば効率的だ 　 プロトコルの選択。TCPかUDPのどちらを選ぶ。両方同時には指定できない 　 設定した各フィルタは、ここの欄で確認できる

　フィルタを設定したところで、再度LAN側PCからWAN側PCの共有フォルダへアクセスしてみよう。正しく設定されていれば、以下の画面のようにアクセスは失敗するはずだ。

E:\>nbtstat -A 10.1.1.101　 ローカル エリア接続: Node IpAddress: [192.168.1.102] Scope Id: []     Host not found. C:\>net view　 サーバー名             注釈 ------------------------------------------------------------ \\TESTPC01             Client PC No.1 for Test (Win2k) コマンドは正常に終了しました。 C:\>net view \\10.1.1.101　 システム エラー 53 が発生しました。 ネットワーク パスが見つかりません。 C:\>net use k: \\10.1.1.101\share　 システム エラー 53 が発生しました。 ネットワーク パスが見つかりません。

フィルタ設定後のファイル共有へのアクセス

これはLAN側PCのOSをWindows 2000 Professionalにして、WAN側PCへアクセスした結果。フィルタによってアクセスが遮断されるため、WAN側PCが存在しないかのように、アクセスが拒否されているのが分かる。

IPアドレス「10.1.1.101」を指定して、WAN側PCのNBT情報を表示させようとしたところ。フィルタ設定前と違って、WAN側PCが見つからないことが分かる 　 「WORKGROUP」というワークグループに属するWindowsサーバ（ファイル共有サービスを提供しているマシン）の一覧を表示させたところ。やはりWAN側PC（TESTSVR01）は一覧にない 　 IPアドレス「10.1.1.101」を指定して、WAN側PCの共有リソースを表示させようとしたが、これも失敗した（フィルタ設定前は成功） 　 IPアドレス「10.1.1.101」を指定して、WAN側PCの共有フォルダ「share」をK：ドライブにマップしようとしたが、やはり失敗した（フィルタ設定前は成功）

　

フィルタによる副作用について 　 　前のページのフィルタ設定を適用すると、特定のネットワーク環境では、思わぬ副作用を引き起こす可能性がある。その1つは、LAN側が複数のサブネットで構成されており、かつそのルーティングをブロードバンド・ルータが行っている、という環境だ。複数のサブネットをまたいでファイル共有へアクセスが生じたとき、ブロードバンド・ルータはLAN側から届いたパケットに対して各種処理を施した後、再びLAN側へ戻す。このとき、前述のフィルタが作用したら、パケットはルーティングされず、ファイル共有へのアクセスが遮断されてしまう。 　 　これを解決する方法の1つは、前述のフィルタをWAN側インターフェイスにのみ適用するように設定することだ。これならフィルタの設定はLAN側のルーティング処理に影響しないはずだ。LAN側をサブネット分割してルーティングできるブロードバンド・ルータなら、フィルタを適用するインターフェイス（WAN側とLAN側）を選択できる機能も実装していることが多い。別の解決策としては、LAN側のルーティングは別のルータに任せるという方法もある。 　もう1つの注意は、ブロードバンド・ルータにキャッシュではない本当のDNSサーバが実装されていて、かつNetBIOSの名前解決にそのDNSサーバを使っている場合だ。前のページのフィルタ設定における「フィルタその5」「フィルタその6」を適用した場合、DNSサーバによるNetBIOSの名前解決はできなくなる。解決策は、フィルタ5／6の適用をやめるか、DNSサーバをルータ以外にすることだ。

■

　もしIPマスカレードに頼らずに、WAN→LANの向きのファイル・アクセスを遮断しなければならない場合は、前のページのフィルタ設定にあるLAN→WANの設定を、WAN→LAN向きにも適用すればよい。

　今回行ったフィルタの設定は、インターネットに接続するルータとしては定番といえるものであり、デフォルトで今回の設定が適用されているブロードバンド・ルータもあるくらいだ。手持ちの製品にこのフィルタ設定があるかどうか確認し、なければぜひ適用していただきたい。

関連記事（PC Insider内）
連載	ネットワーク・デバイス教科書：第13回　ブロードバンド・ルータのセキュリティ設定

関連リンク
コレガ	BAR SW-4P Proの製品情報ページ
＠IT：ブロードバンド・ルータ動作確認情報局	コレガ製BAR SW-4P Proの動作実績情報
ルートテクノロジー	CAS2040の製品情報ページ
＠IT：ブロードバンド・ルータ動作確認情報局	ルートテクロノジー製CAS2040の動作確認情報

INDEX
	［実験］ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
	第1回　ルータ内蔵の設定用サーバへのアクセスを制限するには
	第2回　Windowsのファイル共有サービスをブロックする（1）
	Windowsのファイル共有サービスをブロックする（2）
	Windowsのファイル共有サービスをブロックする（3）

　

「PC Insiderの実験」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）