質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Windows Server

Windows Serverとは、Microsoft社のサーバ用オペレーティングシステムの総称です。 企業内ネットワークなどで利用されるサーバ機へ導入することを想定して開発されているため高い安定性があり、 管理機能を提供するソフトウェアが多く含まれています。

Q&A

解決済

2回答

11871閲覧

Windows ファイアウォールの設定

redlinux1015

総合スコア33

Windows Server

Windows Serverとは、Microsoft社のサーバ用オペレーティングシステムの総称です。 企業内ネットワークなどで利用されるサーバ機へ導入することを想定して開発されているため高い安定性があり、 管理機能を提供するソフトウェアが多く含まれています。

0グッド

0クリップ

投稿2017/02/16 07:03

現在、ウィルスパターン配信サーバを構築しています。
環境:WindowsServer 2012R2 Standard

以下のような通信制限をファイアーウォールで掛けられるかをご教授ください。

①基本すべての通信を許可する。
②httpとhttpsのポートを閉じる。
③指定するipアドレスのみ、閉じたポートの通信を許可する。

①と②については、windowsファイアウォールのプロパティ画面でプロファイルの受信接続を許可し、受信の規則にてビルドインのWWWサービス規則をブロックするように設定することで実現できたのですが、③の設定方法がわかりません。

よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

既に解決済みなので参考情報で。

Windows Firewallのルールの優先度は下記の通りです。
Windows Server 2008 R2の場合ですがたぶん同じ。

  1. セキュリティで保護されている場合のみ通信を許可する
  2. 接続をブロックする
  3. 接続を許可する
  4. デフォルトの動作

拒否ルールがどうしても優先されてしまうので、いまいち使いにくいかと。
もし配信サーバーに使用するWebサーバーに接続許可設定があるなら、そちらで制御した方がよいかと。

例えばIISなら「IPおよびドメインの制限」があると思います。
※デフォルトではインストールされません。

そちらであればデフォルトルールを許可か拒否か選べるので。

投稿2017/02/17 00:41

kanbeworks

総合スコア829

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

redlinux1015

2017/02/17 03:04

恐らく上記の優先順位が適用され、ファイアウォールの設定では解決できなかったので、IISにて設定を試み、想定通りの結果が出たかと思いましたが…今度はウィルスパターン配信サーバ(TMCM)の管理コンソールがエラーとなり、表示できなくなりました。また、同じ要件でWSUSサーバを構築したのですが、同じくWSUS管理コンソールにて接続エラーとなり、管理画面が表示できません。
kanbeworks

2017/02/17 03:41

TMCMやWSUSの質問として新たに立ち上げたほうがいいのかな、と思いましたが「プログラムに関係ない質問」と怒られるかもですね。 TMCMについては以下のような情報もありますが、IISが関わるのは80と443だけで、他のポートは許可してるんですよね。 ・TMCMで利用するポート番号 http://esupport.trendmicro.com/solution/ja-jp/1096250.aspx WSUS管理コンソールが繋がらない原因も、使用するポートが80と443じゃなく、8530または8531だったりするせい?とかいろいろ考えられますが特定は難しいですね。
redlinux1015

2017/02/17 09:52

解決しました!管理コンソールをサーバ自身から起動しようとしていたため、追加で127.0.0.1を許可リストに入れなければいけなかったようです。ひとまず顧客も満足したようです…本当にありがとうございました!
guest

0

確認していないので想定回答です。間違っていたらすいません。
一部の端末に対してのポート開放を実現するには2セットのポリシーを作成する必要があると思います。
・許可ポリシー
・禁止ポリシー

それで、許可ポリシーのプロパティ「スコープ」で許可するIPのみ設定したら期待した動作になると思うのですが・・・

投稿2017/02/16 07:28

over

総合スコア4309

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

redlinux1015

2017/02/16 08:41

やってみましたが、駄目でした。 新しい規則を作成し、以下設定。 [プロトコルおよびポート] ローカルポート 特定のポート:80 リモートポート すべて [全般] 有効 接続を許可する [スコープ] リモートIPアドレス これらのIPアドレス (許可したいIPアドレス) 拒否規則と作成した許可規則を有効にしましたが、該当IPからはアクセス出来ませんでした。 linuxからの経験から、拒否規則が勝つのではと考えます。
over

2017/02/16 08:52

Windowsでは許可規則の方が優先されるとの情報を聞いたことがあるのですが、無理でしたか。 ちなみに拒否規則を無効にした場合、全ての端末から接続できてしまうのでしょうか?
redlinux1015

2017/02/16 09:03

拒否規則を無効にして作成した許可規則を有効にした状態だと、他端末からもアクセス可能でした。プロファイルの受信接続を許可しているので、許可規則にてスコープを設定していてもだめなんでしょうね。 プロファイルの受信接続をブロックにしてしまえば上記設定でいけると思うのですが、httpだけを制限したいという顧客要望があるので…
over

2017/02/16 10:12

実機で動作確認してみました。 他のポリシーで本当にhttpポートを閉じられているのであれば、許可ポリシー + スコープで期待した動作します。 この「他のポリシー」というのは・・・ デフォルトでは、結構なポリシーでhttpを開放しているようです。 こちらも全て閉じないと期待した動作はしませんでした。 なお、こちらの環境では、以下を無効にして80ポートを完全にふさぎました。 ・BranchCashe ホスト型キャッシュサーバー(HTTP-受信) ・Windowsリモート管理(HTTP受信) ・World Wide Webサービス(HTTPトラフィック) ・コアネットワーク IPHTTPS(TCP受信) ただ、不思議な状況が発生しています。 禁止されたマシンからtelnetで80ポート指定接続だと、ちゃんと閉じられているのが確認できるのですが、ブラウザからだと閲覧できてしまいます(ちなみにF5更新だと接続できない)。 Microsoftの不穏な動作が・・・ もちろん許可端末からはtelnetでもブラウザでも接続できました。 禁止端末からブラウザ経由で見えてしまう謎はパケットキャプチャーして追うしかなさそうです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問