質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.34%

  • Windows Server

    417questions

    Windows Serverとは、Microsoft社のサーバ用オペレーティングシステムの総称です。 企業内ネットワークなどで利用されるサーバ機へ導入することを想定して開発されているため高い安定性があり、 管理機能を提供するソフトウェアが多く含まれています。

Windows ファイアウォールの設定

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 2,460

redlinux1015

score 21

現在、ウィルスパターン配信サーバを構築しています。
環境:WindowsServer 2012R2 Standard

以下のような通信制限をファイアーウォールで掛けられるかをご教授ください。

①基本すべての通信を許可する。
②httpとhttpsのポートを閉じる。
③指定するipアドレスのみ、閉じたポートの通信を許可する。

①と②については、windowsファイアウォールのプロパティ画面でプロファイルの受信接続を許可し、受信の規則にてビルドインのWWWサービス規則をブロックするように設定することで実現できたのですが、③の設定方法がわかりません。

よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

既に解決済みなので参考情報で。

Windows Firewallのルールの優先度は下記の通りです。
Windows Server 2008 R2の場合ですがたぶん同じ。

  1. セキュリティで保護されている場合のみ通信を許可する
  2. 接続をブロックする
  3. 接続を許可する
  4. デフォルトの動作

拒否ルールがどうしても優先されてしまうので、いまいち使いにくいかと。
もし配信サーバーに使用するWebサーバーに接続許可設定があるなら、そちらで制御した方がよいかと。

例えばIISなら「IPおよびドメインの制限」があると思います。
※デフォルトではインストールされません。

そちらであればデフォルトルールを許可か拒否か選べるので。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/17 12:04

    恐らく上記の優先順位が適用され、ファイアウォールの設定では解決できなかったので、IISにて設定を試み、想定通りの結果が出たかと思いましたが…今度はウィルスパターン配信サーバ(TMCM)の管理コンソールがエラーとなり、表示できなくなりました。また、同じ要件でWSUSサーバを構築したのですが、同じくWSUS管理コンソールにて接続エラーとなり、管理画面が表示できません。

    キャンセル

  • 2017/02/17 12:41

    TMCMやWSUSの質問として新たに立ち上げたほうがいいのかな、と思いましたが「プログラムに関係ない質問」と怒られるかもですね。

    TMCMについては以下のような情報もありますが、IISが関わるのは80と443だけで、他のポートは許可してるんですよね。
    ・TMCMで利用するポート番号
    http://esupport.trendmicro.com/solution/ja-jp/1096250.aspx

    WSUS管理コンソールが繋がらない原因も、使用するポートが80と443じゃなく、8530または8531だったりするせい?とかいろいろ考えられますが特定は難しいですね。

    キャンセル

  • 2017/02/17 18:52

    解決しました!管理コンソールをサーバ自身から起動しようとしていたため、追加で127.0.0.1を許可リストに入れなければいけなかったようです。ひとまず顧客も満足したようです…本当にありがとうございました!

    キャンセル

0

確認していないので想定回答です。間違っていたらすいません。
一部の端末に対してのポート開放を実現するには2セットのポリシーを作成する必要があると思います。
・許可ポリシー
・禁止ポリシー

それで、許可ポリシーのプロパティ「スコープ」で許可するIPのみ設定したら期待した動作になると思うのですが・・・

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/16 17:41

    やってみましたが、駄目でした。
    新しい規則を作成し、以下設定。
    [プロトコルおよびポート]
    ローカルポート
    特定のポート:80
    リモートポート
    すべて

    [全般]
    有効
    接続を許可する

    [スコープ]
    リモートIPアドレス
    これらのIPアドレス
    (許可したいIPアドレス)

    拒否規則と作成した許可規則を有効にしましたが、該当IPからはアクセス出来ませんでした。
    linuxからの経験から、拒否規則が勝つのではと考えます。

    キャンセル

  • 2017/02/16 17:52

    Windowsでは許可規則の方が優先されるとの情報を聞いたことがあるのですが、無理でしたか。
    ちなみに拒否規則を無効にした場合、全ての端末から接続できてしまうのでしょうか?

    キャンセル

  • 2017/02/16 18:03

    拒否規則を無効にして作成した許可規則を有効にした状態だと、他端末からもアクセス可能でした。プロファイルの受信接続を許可しているので、許可規則にてスコープを設定していてもだめなんでしょうね。
    プロファイルの受信接続をブロックにしてしまえば上記設定でいけると思うのですが、httpだけを制限したいという顧客要望があるので…

    キャンセル

  • 2017/02/16 19:12

    実機で動作確認してみました。
    他のポリシーで本当にhttpポートを閉じられているのであれば、許可ポリシー + スコープで期待した動作します。
    この「他のポリシー」というのは・・・
    デフォルトでは、結構なポリシーでhttpを開放しているようです。
    こちらも全て閉じないと期待した動作はしませんでした。
    なお、こちらの環境では、以下を無効にして80ポートを完全にふさぎました。
    ・BranchCashe ホスト型キャッシュサーバー(HTTP-受信)
    ・Windowsリモート管理(HTTP受信)
    ・World Wide Webサービス(HTTPトラフィック)
    ・コアネットワーク IPHTTPS(TCP受信)

    ただ、不思議な状況が発生しています。
    禁止されたマシンからtelnetで80ポート指定接続だと、ちゃんと閉じられているのが確認できるのですが、ブラウザからだと閲覧できてしまいます(ちなみにF5更新だと接続できない)。
    Microsoftの不穏な動作が・・・

    もちろん許可端末からはtelnetでもブラウザでも接続できました。
    禁止端末からブラウザ経由で見えてしまう謎はパケットキャプチャーして追うしかなさそうです。

    キャンセル

同じタグがついた質問を見る

  • Windows Server

    417questions

    Windows Serverとは、Microsoft社のサーバ用オペレーティングシステムの総称です。 企業内ネットワークなどで利用されるサーバ機へ導入することを想定して開発されているため高い安定性があり、 管理機能を提供するソフトウェアが多く含まれています。