作成日:2009年03月01日、更新日:2009年03月01日 作成:鷹の巣

リモートデスクトップ接続用Windows ファイアウォールの設定例を示します。


新作 リモートデスクトップ接続用Windows ファイアウォールの設定

このページでは、リモートデスクトップ接続用Windows ファイアウォールの設定例を示します。

インターネット経由のVPN構築にかかわらず、VPN サーバー機のWindows ファイアウォールの設定は、重要です。ルータのフィルタリングは、ルータの再起動を伴うので、頻繁に変更する訳にはいきません。これに比べて、Windows ファイアウォールの設定は、設定を変更しても、PCを再起動せずに即座に反映できるのが、利点です。次項以降にリモートデスクトップ接続を許可する場合の Windows ファイアウォールの設定例を示します

1. リモートデスクトップ接続用Windows ファイアウォールの設定

  1. Windows ファイアウォールの有効化
    まず、Windows ファイアウォールの全般タブで、下図の様に有効になっていなればなりません。(例外は許可します。)
    Windowsファイアウォール全般タブ

  2. OpenVPN のWindows ファイアウォールの設定例(アクセス元を限定する)
    Windows ファイアウォールの例外タブで、OpenVPN にチェックを入れ、「編集」ボタンを押します。
    例外OpenVPNプログラム

    プログラム編集画面で、「スコープ変更」ボタンを押します。
    例外OpenVPNプログラム編集

    スコープの変更画面で、「カスタムの一覧」を選択し、ここにVPN クライアントとしてアクセス可能なIPアドレスを記載します。下図の例では、LAN内の192.168.0.0/24 のC級プライベートアドレスと鷹の巣の自宅の固定IP アドレス(203.212.55.105/32)に設定しています。あまりIP アドレスの変わらない非固定IP アドレスの場合は、/24程度のネットワークセグメントにした方が良いと考えます。
    例外OpenVPNプログラム編集のスコープ変更

  3. リモートデスクトップ接続のWindows ファイアウォールの設定例(アクセス元を限定する)
    Windows ファイアウォールの例外タブで、リモートデスクトップにチェックを入れ、「編集」ボタンを押します。
    例外リモートデスクトップ

    サービス編集画面で、リモートデスクトップ接続で使用するTCP 3389にチェックが入っていることを確認した後、「スコープ変更」ボタンを押します。
    例外リモートデスクトップサービス編集

    スコープの変更画面で、「カスタムの一覧」を選択し、リモートデスクトップ接続にアクセス可能なIPアドレスを10.0.0.0/8 のA級プライベートアドレスに設定します。この設定により、クライアント証明書を有したVPNクライアントだけが、リモートデスクトップ接続にアクセスできる様になります。

    例外リモートデスクトップサービス編集のスコープ変更

    今回の場合は、10.8.0.0/24 に設定する方が良いです。設定後、「OK」ボタンを押します。

  4. Windows ファイアウォール詳細設定の設定例(アクセス元を限定する)
    下図の様に詳細設定タブでは、NIC(ネットワークインターフェィスカード)毎に設定ができるようになっています。(1)(2)の行にチェックが入っていると、例外タブの設定に更にアクセス条件を加えることができます。
    Windowsファイアウォール詳細設定タブ

    下図の例では、仮想NICには、リモートデスクトップ接続を許可し、今までに使用していたNICには、リモートデスクトップ接続禁止する設定になっています。
    Windowsファイアウォール詳細設定のOpenVPN接続Windowsファイアウォール詳細設定のローカルエリア接続

  5. 以上が、Windows ファイアウォールの設定例です。設定内容が即座に変更されますので、アクセス元の変更等は、頻繁に行うことが出来ます。

目次▲頁先頭