PPTPサーバとセキュリティ
今回のように,PPTPサーバからLAN側のIPアドレスを割り当てられるように設定しておいた場合,PPTPサーバを経由して接続すればLANの一部となる。
よってLAN上でWindowsのファイル共有が実行されていれば,容易にファイルが閲覧でき,またプリンタ共有がされていればLAN内のプリンタで印刷することもできる。
もちろんSambaなどでPPTPサーバ自身がWindowsのファイル共有を提供しているのであれば,それを参照することも可能だ。
One Point!
ただし,Windowsのファイル共有を使う場合,WINSサーバを設定するかLMHOSTファイルを設定しなければ「マイネットワーク」内に相手のコンピュータが見えないという場合もあるだろう。PPTP経由でWindowsのファイル共有をする場合には,WINSサーバをLAN側に構築し,そのWINSサーバのIPアドレスをoptions.pptpdファイルのms-wins項目で指定しておいたほうがよいと思われる(Sambaを使っているのであれば,Sambaの設定ファイルを変更すればWINSサーバとして機能させられる)。
このようにPPTPサーバを使ってLANに接続すれば,LANに直結するのとまったく同じ環境が得られるのだ。メリットを逆に考えれば,PPTPサーバを通じて不正に接続されるとLAN内のリソースへアクセスし放題になってしまうという点にも注意したい。
よって,PPTPサーバのセキュリティ設定は厳重にすべきであり,場合によっては万が一不正進入された際の影響を考慮しておく必要がある。例えば,PPTPのインタフェースに対しiptablesコマンドでパケットフィルタリングを設定するなど,操作できることを制限するのがよいかもしれない。
セキュリティに関しての追伸だが,PPTPはTCPプロトコルのポート1723番(待ち受け側)と,IPプロトコルの47番(GRE)を利用している。そのため,ルータでこれらを透過するよう設定されている必要がある。また,LANとPPTPのクライアントとが接続する場合には,LAN(eth0やeth1など)とPPPインタフェース(ppp0など)とでパケット中継が行われる仕組みを持つ。
このため,パケット中継が許されていない,iptablesコマンドにより中継を除外しているといった場合には,PPTPサーバとPPTPクライアントは通信ができても,PPTPクライアントからLANへの任意のコンピュータに接続ができないといったことが起きる。
このように思った通りにならない場合には,パケット転送を許すかどうかを決める「/proc/sys/net/ipv4/ip_forward」の値が「1」に設定されているかどうかを確認したり,「iptables -L」を実行して,現在のパケットフィルタリング設定を確認してみるとよいだろう。
リモートデスクトップも実用的になる
PPTPサーバをLinuxで実現する場合には,カーネルにパッチを当てる必要があるために設定は意外と難しい。しかし,いちど設定をしてしまえばPPTPによる環境は非常に便利であると感じた。
筆者は,ノートパソコンとケータイを使って自宅のLANに接続し,LAN内で共有設定をしているファイルにアクセスをしてみた。さすがにケータイ経由であるとファイル共有は速度的に実用的ではないものの,共有されたファイルをドラッグ&ドロップで操作できるなど,FTPクライアントによる操作に比べ使い勝手が断然よい。
今回は試していないが,回線がADSLであればWindowsXPのリモートデスクトップ機能を使い出先からデスクトップ自体をコントロールすることも実用的になるはずだ。
