Q&A
やってみましたが、駄目でした。
新しい規則を作成し、以下設定。
[プロトコルおよびポート]
ローカルポート
特定のポート:80
リモートポート
すべて
[全般]
有効
接続を許可する
[スコープ]
リモートIPアドレス
これらのIPアドレス
(許可したいIPアドレス)
拒否規則と作成した許可規則を有効にしましたが、該当IPからはアクセス出来ませんでした。
linuxからの経験から、拒否規則が勝つのではと考えます。
現在、ウィルスパターン配信サーバを構築しています。
環境:WindowsServer 2012R2 Standard
以下のような通信制限をファイアーウォールで掛けられるかをご教授ください。
①基本すべての通信を許可する。
②httpとhttpsのポートを閉じる。
③指定するipアドレスのみ、閉じたポートの通信を許可する。
①と②については、windowsファイアウォールのプロパティ画面でプロファイルの受信接続を許可し、受信の規則にてビルドインのWWWサービス規則をブロックするように設定することで実現できたのですが、③の設定方法がわかりません。
よろしくお願いします。
回答2件
0
ベストアンサー
既に解決済みなので参考情報で。
Windows Firewallのルールの優先度は下記の通りです。
※Windows Server 2008 R2の場合ですがたぶん同じ。
- セキュリティで保護されている場合のみ通信を許可する
- 接続をブロックする
- 接続を許可する
- デフォルトの動作
拒否ルールがどうしても優先されてしまうので、いまいち使いにくいかと。
もし配信サーバーに使用するWebサーバーに接続許可設定があるなら、そちらで制御した方がよいかと。
例えばIISなら「IPおよびドメインの制限」があると思います。
※デフォルトではインストールされません。
そちらであればデフォルトルールを許可か拒否か選べるので。
投稿2017/02/17 00:41
総合スコア829
0
確認していないので想定回答です。間違っていたらすいません。
一部の端末に対してのポート開放を実現するには2セットのポリシーを作成する必要があると思います。
・許可ポリシー
・禁止ポリシー
それで、許可ポリシーのプロパティ「スコープ」で許可するIPのみ設定したら期待した動作になると思うのですが・・・
投稿2017/02/16 07:28
総合スコア4315
Windowsでは許可規則の方が優先されるとの情報を聞いたことがあるのですが、無理でしたか。
ちなみに拒否規則を無効にした場合、全ての端末から接続できてしまうのでしょうか?
拒否規則を無効にして作成した許可規則を有効にした状態だと、他端末からもアクセス可能でした。プロファイルの受信接続を許可しているので、許可規則にてスコープを設定していてもだめなんでしょうね。
プロファイルの受信接続をブロックにしてしまえば上記設定でいけると思うのですが、httpだけを制限したいという顧客要望があるので…
実機で動作確認してみました。
他のポリシーで本当にhttpポートを閉じられているのであれば、許可ポリシー + スコープで期待した動作します。
この「他のポリシー」というのは・・・
デフォルトでは、結構なポリシーでhttpを開放しているようです。
こちらも全て閉じないと期待した動作はしませんでした。
なお、こちらの環境では、以下を無効にして80ポートを完全にふさぎました。
・BranchCashe ホスト型キャッシュサーバー(HTTP-受信)
・Windowsリモート管理(HTTP受信)
・World Wide Webサービス(HTTPトラフィック)
・コアネットワーク IPHTTPS(TCP受信)
ただ、不思議な状況が発生しています。
禁止されたマシンからtelnetで80ポート指定接続だと、ちゃんと閉じられているのが確認できるのですが、ブラウザからだと閲覧できてしまいます(ちなみにF5更新だと接続できない)。
Microsoftの不穏な動作が・・・
もちろん許可端末からはtelnetでもブラウザでも接続できました。
禁止端末からブラウザ経由で見えてしまう謎はパケットキャプチャーして追うしかなさそうです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/02/17 03:04
2017/02/17 03:41
2017/02/17 09:52