▼ 2009/01/17(Sat) ESET Smart Security + VMware ブリッジモードのFW設定
この間から起こっていた0x3bの件がWindbgによってminidump検証したらkl1.sys(Kasperskyのファイアウォールフィルタドライバ)が原因であることが分かったため、KasperskyをやめてESETに移ってみた。
今のところ、システムは安定。うーん、x64のファイアウォールって難しいな。
さて、閑話休題。
今度はそのESET Smart Securityに変えた後、VMwareのブリッジモードでゲストOSが外にアクセスできないということになった。
その原因を追ってみる。
今のところ、システムは安定。うーん、x64のファイアウォールって難しいな。
さて、閑話休題。
今度はそのESET Smart Securityに変えた後、VMwareのブリッジモードでゲストOSが外にアクセスできないということになった。
その原因を追ってみる。
まずは
このファイアウォールが原因なのか、それを突き止める。とりあえず自分のPCはルーターの内部に居たので、少々ファイアウォールサービスを止めても影響ないかな、ということで、一旦全て停止。
すると、ゲストOSから外部に正常にアクセスできた。
ということは、ESETのファイアウォールが原因で間違いない。
ちなみに、DMZ状態のPCではしないように。外から筒抜けになってしまう。この場合の手順は次を参照。
試験用フィルタの作成
こういうときのために、次のようなルールを作成する。ルール名は何でもよいが、とりあえず
- 制限緩めで通すこと。(特に外向きUDPだけ設定して、内向きUDPの設定をし忘れることが多い)
- ユーザー通知とログ記録を有効にすること
DMZ環境の場合は、アクションを許可ではなく確認にすることをお忘れなく。
非常に大量の確認メッセージが出ることが予想できるが、ツーツーにするよりはマシかと。目当て以外の通信には根気強く拒否を押してください。
ちなみに、このルールはアプリケーションを指定しないので、アプリケーションツリー表示では見れません。
「ゾーンとルールの設定」ダイアログで、「詳細表示(すべてのルールを表示)に切り替え」をクリックすると出現します。
原因究明
なるほど、ルーターの53番(DNS)からの内向きが通れないわけですか。どうやら、VMwareの内側から名前問い合わせしたとき、外向きはvmware.exe辺りのルールで通過できるものの、返答のUDPパケットが遮断されている状態。アプリケーション名が空っぽですね。
まあ、ルーター圏内だし、信頼ゾーン区間のDNSのパケットは信じるということにして、次のようなルールを作ります。
これでゲストOSのWindows XPから名前が引けるようになり、無事ブラウズなど自由にできるようになった。
サーバーを立てている場合
私のように、VMware内部のゲストOSにサーバーを持たせていて、インターネット側からアクセスさせたいと考えている場合は、上記の設定だけではパケットが通らない。どうやら、内向きの設定もアプリケーション名の指定なしで設定する必要があるみたい。
上記と同様の方法でどういうルールを作るか考えてみる。
ふむ、アプリケーションの設定なしで22番を開ければよさそうだ。
ついでに、UDP123番のNTPポートもブロックされていたようなので、ルール追加。
まあこれはVMware Toolsが自動同期してくれるから、どっちでもいいっちゃいいけど……。
これでブリッジモードでも安全に通信できるようになりましたとさ。
参考になった記事や興味深かった記事は、他の人も見つけやすいようにリンクやはてブしていただけると助かります…。
コメントも歓迎です。
- TB-URL http://mo.kerosoft.com/093/tb/
1: RUNA 2009年11月19日(Thu) 午前11時51分
とっても助かりました。