図 Windows Server 2003のRRASサービスでHTTP以外を受け付けないように設定した画面
[画像のクリックで拡大表示]
netsh routing ip set filter name="ローカル エリア接続" filtertype=input action=drop
netsh routing ip add filter name="ローカル エリア接続" filtertype=input srcaddr=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=tcp srcport=0 dstport=80
Windowsサーバーには「ルーティングとリモート・アクセス」(RRAS)というルーターとして使うための機能があります。この機能を有効にしてルーターとして使う場合に,受け付けるアクセスを制限してネットワークのセキュリティを保ちたいことがあります。このような場合は,netshコマンドを使って,RRASのサービスを制御するroutingコンテキストを使います。
具体的には,まず「set filter」でフィルタ条件に合致しない既定の動作を拒否(drop)するように設定します。それから,「add filter」で通信を通過させる入力フィルタを追加します。例えば,HTTPによるあて先TCPポート80の入力を追加する場合には図のように入力します。発信元と送信元のIPアドレスおよびサブネット・マスクを特に制限しない場合は「0.0.0.0」と指定することで,任意(Any)という設定になります。
