メールサーバで特定ポートをブロックしなければならなくなり、Windowsファイアウォールの設定で苦労しました。なんとか上手くいったのですが、きっと同じことで苦労されている人がいるのかと勝手に思いましたので、手順として記録しました。
今回、私が設定しなければならなかったことは、メールサーバに対してSMTP25番ポートでアクセスしてくるクライアントPCをブロックし、かつ、ブロックするクライアントの対象を特定のセグメントに限定しなければならない、そんな内容です。
ファイアウォールで特定ポートをブロック
手順の説明に入る前に・・
-
下記のような設定で手順の説明を行っていきます。
- ブロック対象のポートは25番のSMTPポート
- ブロック対象のクライアントセグメントは192.168.200.0/24
- ファイアウォールはサーバ側に設定する前提です。
IPアドレスやポート番号など、適宜ご自分の環境に置き換えて読み進めてください。
手順説明
-
【手順1】
- 「スタート」>「管理ツール」>「セキュリティが強化されたWindowsファイアウォール」を起動します。
- 左にあるツリー型メニューから、「受信の規則」を選択
- 受信の規則が一覧で表示される。
- 「新しい規則...」を選択
-
【手順3】
- プロトコルおよびポートを設定する画面が表示される。
- 「プロトコルの種類」に「TCP」を選択
- ローカルポートの上段にある選択肢を「特定のポート」に設定
- 下段のテキストエリアに「25」を入力、「次へ」
-
【手順4】
- スコープを設定する画面が表示される。
- ローカルIPアドレスにサーバーのIPアドレスを設定
- リモートIPアドレスには、クライアント端末のIPアドレスを設定
- 特定のセグメントをまとめて指定する場合は、
「192.168.200.0/24」のようにネットワークアドレスを指定、
「192.168.150.28」のように個別に設定することも可能 - 設定が済んだら「次へ」
まとめ
私がはまったポイントは、ポート設定、ならびにスコープの設定、この2点です。
ポート設定画面では、ローカルポートとリモートポート、両方に「25」を設定していて上手くいかず、後で片方だけの設定でいいことがわかりました。また、ローカルとリモートってどっち?って混乱しました。普通、ローカルってあれば送信元と思いますが、Windowsファイアウォールでは逆なんですよね。ちなみに、Symantec Endpoint Protectionでは、ローカルはあくまで送信元を指します。
ファイアウォールでも製品によって設定方法が全然違うので注意が必要です。