Windows2000にポートフィルターをかける事はできますか？

Windows2000にポートフィルターをかける事はできますか？
よろしくお願いします。

No.5 ベストアンサー 回答者： noname#41381 回答日時： 2003/12/19 18:34

#3です。

専門家の方が、#3で3つあげた中の「(1)TCP/IPプロトコルスタック組み込みのフィルタ機能」
について回答されていますが、この機能は機能面ではちょっともの足りないです。
＃設定自体はGUIで設定できるのでいいですが...
＃完全にinパケットは止めるということならいいですが、ftpのportモードが使えなくなったり等があります。

TCP/IPプロトコルスタック組み込みのフィルタ機能の設定手順は以下を参照してください。
http://www.atmarkit.co.jp/fwin2k/operation/perso …

で、何がどう使えないかですが、
まず、フィルタリングするものを指定するのではなく、これは許可するものを指定します。
例えばhttp(80/tcp)だけフィルタしたい場合は、それ以外の許可するモノを全て記載しないとダメです。
あと、ICMPは止められないので、ping応答させない　といったことはできません。

ということで、#3では(Windows2000の標準機能では)RRASでのフィルタリング設定を推奨しました。
ちょっと設定は使いづらいですが、フィルタリングする事自体
ある程度TCP/IPについて知っておく必要があるので、いい勉強になると思います。
（安易に設定できてしまうと、弊害が出ても原因がわからない事がおおいかと）


ちなみに、RRASはコネクション状態もチェックできるので、
XPのフィルタリング(ICF)よりも詳細に設定できますので機能は上かと思います。（ログ採取機能はないですが...）
もちろんXPでもRRASを使えば同様に設定できます。

参考URL：http://www.atmarkit.co.jp/fwin2k/operation/perso …

No.6 回答者： Aruku-20030515 回答日時： 2003/12/20 15:30

すみません、質問者の方、ちょっと蛇足します。

No5の方が記述された内容の中に、PINGに応答させないとありましたが　これは考えも無く遮断するのは問題があったとき解決が遅れると言う問題を抱えます。

よく素人さんが一部の管理者の真似をして
全てのICMPプロトコルを遮断する事をします。
これはおそらく、ICMPプロトコルの中にネットワーク組織
情報を送り返す機構（WHOIS情報など）を止めさせる
事を考えているのだと思われますが
ICMPプロトコルには重要な仕事をします
それは、パケット消失時に消失した事を伝える役目があります、この機能が止まるとＭＴＵ値が適切に設定されていない通信機材では　突如通信ができなくなる事があります。　ICMPプロトコルを止める場合は　なるべく
止める内容もICMPのType毎に吟味されたほうが安全です

すみません蛇足でした

No.4 回答者： Aruku-20030515 回答日時： 2003/12/19 16:14

ＷｉｎｄｏｗｓＸＰのような高機能なフィルタリングはできませんが、標準で　ポート制限はできます。

ネットワーク設定の画面の中に
「インターネットプロトコルプロパティ」で
「TCP/IP詳細設定」のオプションの中に
「TCP/IPフィルタリング」がそれに該当します

No.3 回答者： noname#41381 回答日時： 2003/12/18 08:55

ポートが開いているということはそれを利用しているサービスが起動されているということです。

そのサービスを止めるのが一番いいでしょう。フィルタリングする必要もないですから。
WindowsXPならnetstat -anoで使用しているサービスとの関連がわかるのですが、
Windows2000なら「ActivePorts」などのツールを使うと簡単です。
　http://www.ntutility.com/freeware.html
※一応Windows2000CD-ROMに入っているSupportToolのtlistなど組み合わせて調査することも可能です。


ですが、サービスやドライバが停止できないもの(=通常の運用で塞ぐことの出来ないポート)
もあるので、そこでパケットフィルタリングを行います。
Windows2000では標準で3つのパケットフィルタ機能があります。
(1)TCP/IPプロトコルスタック組み込みのフィルタ機能
(2)RRAS(Routing and Remote Access Service)サービスの機能
(3)IPSecポリシーフィルター

本当に強固にするなら(1)と(3)を併用すべきですが、
通常は(2)で設定されることが多いと思います。
設定方法はこちらを参照してください。
http://www.atmarkit.co.jp/fwin2k/operation/perso …

(2)の欠点としては、
・RRASサービスがこけるとフィルタリングが無効になる
・設定にWorkstationやServerサービスを起動する必要がある
ということでしょう。
あと、Windows2000Professionalの場合、GUIから設定できないのが初心者にはつらいところだと思います。

一応、標準の機能の範囲で回答いたしましたが、
使い勝手等の面でも他の方が回答されているように他のツールを使われるのがいいかと思います。
※前述しましたが、強固なシステムにするなら、他のツールは使わず
　TCP/IPプロトコルスタックのフィルタ＋IPSecポリシーを使うことでしょう。

参考URL：http://www.atmarkit.co.jp/fwin2k/operation/perso …

No.2 回答者： miluhawk 回答日時： 2003/12/18 02:54

Windowsでは、コマンドプロンプトでnetstatを使って、使用されているポートを調べるくらいしかできないです。

ポートの制御にはファイアウォールのソフトをいれるしかないでしょう。

No.1 回答者： miluhawk 回答日時： 2003/12/18 00:18

ファイアウォールのソフトでポートをフィルタリングできるものを入れたらできます。

フリーのものでNEGiESはどうでしょうか？

参考URL：http://www.vector.co.jp/soft/win95/net/se297041. …

この回答への補足

windowsの機能ではサポートしていないのでしょうか？
よろしくお願いします。

補足日時：2003/12/18 01:26