複数台のサーバーがある場合、フィルタ設定作業が大変になるので、バッチファイルでフィルタ設定を一括登録する方法を説明します。
まず、ネットワークアダプタの設定をする。
その後、ルーティングトリモートアクセスを有効にする。
ルーティングとリモートアクセスにフィルタ設定を追加するバッチは、以下のように記述する。
nameの項目(接続の名称)は、環境によって異なるので確認しておく。
rem 入力側
netsh routing ip set filter name="ローカル エリア接続" filtertype=input action=drop
netsh routing ip add filter name="ローカル エリア接続" filtertype=input srcaddr=192.168.1.0 srcmask=255.255.255.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=ANY
netsh routing ip add filter name="ローカル エリア接続" filtertype=input srcaddr=192.168.2.0 srcmask=255.255.255.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=ANY
rem 出力側
netsh routing ip set filter name="ローカル エリア接続" filtertype=output action=drop
netsh routing ip add filter name="ローカル エリア接続" filtertype=output srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=192.168.1.0 dstmask=255.255.255.0 proto=ANY
netsh routing ip add filter name="ローカル エリア接続" filtertype=output srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=192.168.2.0 dstmask=255.255.255.0 proto=ANY
このようにしてバッチファイルを作っておき、信頼しているマシン群にて一括登録できる。
セキュリティーが強化された Windows ファイヤーウォールにフィルタ設定を追加するバッチは、以下のように記述する。
nameの項目は任意の一意な名称を設定する。
netsh advfirewall firewall add rule name="LOCAL NETWORK" dir=in protocol=any remoteip=192.168.1.0/24,192.168.2.0/24 profile=any action=allow
リモートIPはカンマ区切りで指定できる。
このようにして、ルーティングとリモートアクセス及び、セキュリティーが強化された Windows ファイヤーウォール にて、
二重にフィルタすることで、どちらかにセキュリティーホールが見つかった場合などでも、侵入の危険性を軽減できる。
|
