質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.78%

ファイアウォールで片側だけの通信制御を行うことは可能か?

受付中

回答 1

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 3,643

score 80

質問内容
どちらもOSはWindowsとして、サーバーA,サーバーB間でTCP通信するときの話です。

この通信がAのポート5000番、Bのポート8000番とで行われるとします。
(AからBに情報を投げ、Bで処理してAに返すような通信です)

この時、セキュリティが強化されたWindowsファイアウォールを用いて、片道だけ通信を制限するようなことは可能でしょうか。(A⇒BはOKだがB⇒Aの時点でエラーとなるような状態)

わたしは通信を一度確立してしまう以上不可能で、通信を防ぐとしたら送信用の5000番ポートを塞ぐしかないと思っています。(SPIを使えば実現できるのでしょうか…?)
しかし、実証しているような情報も特になく、理論的にはっきり私が理解しているわけでもないため、質問させていただきました。

試してみたこと
Windowsのセキュリティが強化されたWindowsファイアウォールを用いて受信の5000番を塞いでみましたが、特に問題なく通信が行われました。
現在はWireSharkを用いて通信パケットを見ています。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • y_waiwai

    2018/03/06 16:56

    「Windowsのセキュリティが強化されたWindowsファイアウォール」とはなんでしょうか?

    キャンセル

  • Zaganchan

    2018/03/06 17:47

    Windowsに搭載されているGUIでリモート管理規則が出来るものです。 https://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?PID=7510-8352

    キャンセル

回答 1

+2

Aのサーバのポートをファイアウォールで閉じれば十分です。

まず、理解して欲しいのは
『この通信がAのポート5000番、Bのポート8000番とで行われるとします』の部分は誤解だという事です。

たぶんコネクションを確立する手順をご存じないために生じた誤解だと思いますので、簡単に手順を説明します。

サーバS(Listen port:8000)とクライアントCがコネクションを確立する手順:

0)最初(コネクションを確立しようとする前の状態):
SはListen port(待ち受けポート)でクライアントからの接続を待っている。

1)クライアントからの接続:
Cはコネクション要求のパケット(SYNパケット)をSに送ります。SYNパケットのは、CのIPアドレス、SのIPアドレス、Cのポート(Cで未使用のポートからそのたび選ばれます。ここでは、201803が使われたとします)、Sのポート(8000)などの情報が入っています。

2)サーバからの応答:
SはSYNパケットを受信すると、コネクション要求を受け入れた事を示すSYN+ACKパケットをCに送ります。

3)コネクションの確立:
CはSYN+ACKパケットを受け取ると、サーバの受け入れを確認したことを示すACKパケットをSに送ります。
ここまでで、SとCの間のコネクションが確立します。

上記の手順で注目して頂きたいのは、CのListen portが使われていない事です。
CからSにコネクションを確立するためには、SのListen portにパケットを送る事が出来れば十分なのです。逆の言い方をすると、SのListen portがCからのパケットを受信できなければ(ファイアウォールで阻止されれば)、CはSとTCPでの通信が出来ません。
そこで、最初の行で書いたように「Aのサーバのポートを閉じれば十分です。」という回答になります。

また、Cのポートは他のマシンにコネクションを確立しようとする度に、その時使われていないポート番号のなかから選ばれるものなので、ほぼ毎回違う。Listen port(Bのサーバの8000)は使われているポートなので、それが他のサーバにコネクションするときに使われることはないといった事も常識として覚えておいてください。

補足:
4)ソケット通信;
コネクションが確立した後、Sの8000ポートとCの201803ポートの間のソケットを双方で作り、それを使ってデータのやり取りを行います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/03/08 15:54

    ご回答ありがとうございます。
    一点お伺いしたいのですが、
    >CからSにコネクションを確立するためには、SのListen portにパケットを送る事が出来れば十分なのです。逆の言い方をすると、SのListen portがCからのパケットを受信できなければ(ファイアウォールで阻止されれば)、CはSとTCPでの通信が出来ません。
    ということは、ポートを塞いだ場合に一切の通信が出来ないという認識でよいでしょうか。
    無茶で無意味な話なのは承知の上なのですが、CからSへの処理要求通信を通して、Sで処理が終わった後に帰ってくる応答だけをブロックしたいのです。(イメージからして間違っていたらすみません。)
    ポートが閉じられており、TCPの通信確立の際、ACKに対してSYN/ACKが帰ってこない時点でRSTが発行され通信が終了してしまうため、そもそも処理要求なんて送れない、という認識で問題ないでしょうか。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.78%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る