【ファイアウォール】 特定ポートへのアクセスをセグメント単位でブロックする手順

メールサーバで特定ポートをブロックしなければならなくなり、Windowsファイアウォールの設定で苦労しました。なんとか上手くいったのですが、きっと同じことで苦労されている人がいるのかと勝手に思いましたので、手順として記録しました。

今回、私が設定しなければならなかったことは、メールサーバに対してSMTP25番ポートでアクセスしてくるクライアントPCをブロックし、かつ、ブロックするクライアントの対象を特定のセグメントに限定しなければならない、そんな内容です。

ファイアウォールで特定ポートをブロック

手順の説明に入る前に・・

下記のような設定で手順の説明を行っていきます。
IPアドレスやポート番号など、適宜ご自分の環境に置き換えて読み進めてください。
• ブロック対象のポートは25番のSMTPポート
• ブロック対象のクライアントセグメントは192.168.200.0/24
• ファイアウォールはサーバ側に設定する前提です。

手順説明

【手順１】
• 「スタート」＞「管理ツール」＞「セキュリティが強化されたWindowsファイアウォール」を起動します。
• 左にあるツリー型メニューから、「受信の規則」を選択
• 受信の規則が一覧で表示される。
• 「新しい規則...」を選択

【手順２】
• 新規の受信の規則ウィザード画面が開く（規則の種類を選択する画面）
• 選択肢の中から「カスタム」を選択し、「次へ」

【手順３】
• プロトコルおよびポートを設定する画面が表示される。
• 「プロトコルの種類」に「TCP」を選択
• ローカルポートの上段にある選択肢を「特定のポート」に設定
• 下段のテキストエリアに「25」を入力、「次へ」

【手順４】
• スコープを設定する画面が表示される。
• ローカルIPアドレスにサーバーのIPアドレスを設定
• リモートIPアドレスには、クライアント端末のIPアドレスを設定
• 特定のセグメントをまとめて指定する場合は、
  「192.168.200.0/24」のようにネットワークアドレスを指定、
  「192.168.150.28」のように個別に設定することも可能
• 設定が済んだら「次へ」

【手順５】
• 操作を設定する画面が表示される。
• 「接続をブロックする」を選び、「次へ」

【手順６】
• プロファイルの指定画面が表示される。
• これはそのままで「次へ」

【手順7】
• 名前を指定する画面で「名前」を入力し、「完了」

まとめ

私がはまったポイントは、ポート設定、ならびにスコープの設定、この2点です。
ポート設定画面では、ローカルポートとリモートポート、両方に「25」を設定していて上手くいかず、後で片方だけの設定でいいことがわかりました。また、ローカルとリモートってどっち？って混乱しました。普通、ローカルってあれば送信元と思いますが、Windowsファイアウォールでは逆なんですよね。ちなみに、Symantec Endpoint Protectionでは、ローカルはあくまで送信元を指します。
ファイアウォールでも製品によって設定方法が全然違うので注意が必要です。