- ベストアンサー
FireWallの設定の仕方について
FireWallの設定の仕方について教えてください。素人です。 ネットワーク ⇔ ファイアウォール ⇔ ネットワーク と、LAN間にファイアウォールを設定したいのですが、ポートの指定の仕方がわかりません。 例えば、SMTPのプロトコルを通す場合、通常はin側をanyで許可して、アウト側にポートを指定して許可するのが普通なのでしょうか? (そういうHPがありましたので。。。) なんでin側もアウト側と同じようにポート指定しないのでしょうか? ざっくりとした質問ですいません。 ポート指定の方法(ルール)などの参照先を教えて頂けるだけでもかまいません。
- olive_surf
- お礼率92% (39/42)
- ネットワーク
- 回答数3
- ありがとう数6
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
FWは通過させるか破棄するのかのルールを設定します。 ポート(サービス)ではメールサーバに対して25(SMTP)は許可するけど、それ以外のパケットはFWで破棄する。 そういう指定をするものです。 相手側のポートの管理(?)必要ありません。相手側の管理なんて できないと思いますが。不特定多数が相手なら。 インターネット側であれば特別な理由がなければIPも*です。 FWというのは指定したポート以外の通信を破棄する仕組みです。 25のみ許可しているメールサーバにhttp要求がきたら破棄するのです。 「どこから来た」「どういうサービスを」「どのサーバに対して」「許可/破棄」 これを指定していくものです。
その他の回答 (2)
- bonnumaman
- ベストアンサー率49% (82/166)
ネットワークの1つがLAN、1つがWANと仮定して説明します。 この場合は、通常WAN→LANは全て破棄。これを規定値とします。 その上で必要に応じてあけていくのです。 例えばメールサーバがLAN側にあるなら(これも変ですが)WAN→メールサーバ:SMTPを許可。 そうするとWANからそのメールサーバに向かってのSMTPパケットのみ通します。こうやってひとつずつ通すものを設定していくのです。 規定値で全て破棄としておけば、自分がルールに記述したものだけを 通すのでよいのです。逆に規定を全て通すとしたら考えられる組み合わせすべてブロックするように指定しないとなりません。 LAN→WANはすべて許可にするとか、条件に応じてポートを空けていくとかはネットワーク構成などに応じて考えます。 WAN側はIPは特定できないため基本は*としてIPを表します。
お礼
回答ありがとうございます。 > そうするとWANからそのメールサーバに向かってのSMTPパケットのみ通します。こうやってひとつずつ通すものを設定していくのです。 以前、アクセスリストは作成したことがあるので、プロトコルを指定して許可するというのは理解できるのですが、ポート(番号)の関わりがいまいちわからないです。 FireWall側(受信側)で、例えばSMTPを25番ポートとした場合、相手の送信側のポート番号っていうのは、FireWall側で管理する必要がありますか? また、FireWall側(送信側)で相手の受信側のポート番号って設定しておく必要はありますでしょうか? それとも自分(FireWall)は、SMTPのプロトコルを25番ポートで送受信するという設定さえしておけば、相手側の送受信ポートは意識する必要はないでしょうか? 基本的な質問ですいません。
- hetarepyon
- ベストアンサー率52% (94/180)
FireWall といっても色々な種類があり、ソフトウェアごとに設定方法が異なります。何を使って FireWall を構築するのでしょうか? > 例えば、SMTPのプロトコルを通す場合、通常はin側をanyで許可して、 > アウト側にポートを指定して許可するのが普通なのでしょうか? 普通かどうかは構成によるので一概には何とも言えません。 お使いのソフトウェアのマニュアルがあるのなら、まずはそれを読むことをお勧めします。大抵はサンプルが書いてあるはずですので。
お礼
まだ使うFireWallが決まってはいないのです。 購入した時はサンプルを参照したいと思います。 ありがとうございます。
関連するQ&A
- KIS7のファイアーウォールについて
こんにちは。よろしくお願いします。 ウィルス対策ではないのですが、セキュリティ関連ですので、 どうぞ、お願いします。 Kaspersky Internet Security 7の設定について、 お教えいただけませんでしょうか? ファイアウォール:ネットワークモニタ 「開いているポート」を見ると、 3260 TCP STARWINDSERVICE.EXE 0.0.0.0 3261 TCP STARWINDSERVICE.EXE 0.0.0.0 31038 TCP DKSERVICE.EXE 0.0.0.0 がありますが、 この3つが、 「開いているポート」に出てこないようにならないのでしょうか? Alchol120%とDiskeeperをPCに入れています。 KISのファイアーウォールの設定で、 「アプリケーションのルール」で、 STARWINDSERVICE.EXEと、DKSERVICE.EXEの実行ファイルを指定して、 Block Any TCP Activity Block Any UDP Activity にしていますし、 「パケットフィルタリングのルール」で、 ローカルポート 3260, 3261, 31038 を遮断しています。 ファイアウォール:ネットワークモニタ の、確立中の通信には、出ていないので、 通信はしていないように思いますが、 開いているポートに何故出てくるのか、疑問なのです。 どうぞ、お教え下さい。よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- Windows Vistaのファイアウォール
Windows Vistaで、ファイアウォールを有効にしていると、Linux(Red Hat)にFTP接続をした時のレスポンスが遅くなってしまいます。 パケットの内容を調べてみたら、Linux側からVista側に113ポートでアクセスしていて、応答が返って来ずに、タイムアウトしていました。 VistaのWindowsファイアウォールを無効に設定すると、タイムアウトせず、FTPのレスポンスも早くなります。 そこで、Windowsファイアウォールで、113番ポートを許可するように設定しましたが、やはりファイアウォールを有効にすると、113番ポートアクセスでタイムアウトして、レスポンスが遅くなってしまいます。 Vistaのファイアウォールを有効にした状態で、113番ポートのタイムアウトが発生しないようにする方法は、ないでしょうか? Linux側で、FTP接続された時に113番ポートへアクセスしない様に設定できるみたいなので、最悪はそれでもいいのですが、できればVista側の設定で113番ポートの応答を返すようにできないものか思い、質問しました。 環境 ・Windows Vista Business SP1 ・Red Hat Linux8.0
- 締切済み
- Windows Vista
- Windowsのファイアーウォールについて
Windowsのデフォルトのファイアーウォールに関して質問させていただきます。Windowsデフォルトのファイアーウォールの設定で、ノートンのような、ローカルネットワーク上にある特定のコンピュータ(例:192.168.5.2)にのみ、全てのポートでの接続を許可するという設定方法はあるでしょうか?確かに例外タブで信頼できるコンピュータ、ポートを入力する欄がありますが、たとえばLinuxのような「ALL」で全てのポートを指定するとかいう項目は無いのかと思い質問させていただきました。
- 締切済み
- Windows系OS
- Windowsファイアーウォールの設定
現在、ウィルスパターン配信サーバを構築しています。 環境:WindowsServer 2012R2 Standard 以下のような通信制限をファイアーウォールで掛けられるかをご教授ください。 (1)基本すべての通信を許可する。 (2)httpとhttpsのポートを閉じる。 (3)指定するipアドレスのみ、閉じたポートの通信を許可する。 (1)と(2)については、windowsファイアウォールのプロパティ画面でプロファイルの受信接続を許可し、受信の規則にてビルドインのWWWサービス規則をブロックするように設定することで実現できたのですが、(3)の設定方法がわかりません。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- CentOS7firewall-cmdでESP許可
CentOS7を使ってLinux基礎の勉強中の初心者です。 ァイアフォール設定をfirewallの管理コマンド(firewall-cmd)で行っています。 ※CentOS7からファイアフォール設定が「firewalld.service」になったのでiptablesを直接見たり編集することはありません。 【質問】 あるゾーンにポート番号の概念のないESP(プロトコル番号50)を許可したいのですがやり方がわかりません。 どのようにしてプロトコル番号50を許可すればよいのでしょうか? 例えばあるゾーンに対してhttp許可する場合、2つのやり方がありますよね。 【ポート番号で有効化(許可)】 firewall-cmd [--zone=] --add-port=80/tcp または 【サービス名で有効化(許可)】 firewall-cmd [--zone=] --add-service=http 上記2つの方法に習い、ESP許可をサービス名に指定してみましたが(当然ながら?)プロトコル番号の許可はできませんでした。 firewall-cmd --add-service=esp Error: INVALID_SERVICE: esp ちなみに現在のゾーンはpublicで、このpublicにESP(プロトコル番号50)を許可したいのです。 ********************************************** public (default, active) interfaces: enp2s0 sources: services: dhcpv6-client http ssh ←サービス名で許可 ports: ←ポート番号で許可 masquerade: no forward-ports: icmp-blocks: rich rules:
- 締切済み
- Linux系OS
- ファイアウォール セキュレィテイポリシーの設定について
こんにちは。 職場でDMZ付きのファイアウォール導入が決定しました。 DMZにメールサーバとウェブサーバ(両者Win2000 Server)を設置することになり、 セキュレィティポリシーを見直しているところです。 「どのプロトコルを許可し、どのポートを開けとくか。」 という所で早速わからなくなってしまいました。 ベストのセキュレィティ状態にするにはどうすればいいのでしょうか? どなたかご教示いただけたら幸いです。
- ベストアンサー
- ネットワーク
- ファイアウォールのポート設定(メールの送受信)について
ウイルスバスター2006のパーソナルファイアウォールの場合、初期設定で「例外ルール」として用意されている「SMTP」と「POP3」ではポート番号がそれぞれ25,110というふうに指定されています。 ところが新たにOutlookExpressでのメール送受信を検知した際に自動で追加される例外ルールの内容を見ると、送信、受信ともにポート番号は指定されず、「すべて(のポート)」という設定になります。 というか、OutlookExpressに限らず、(許可した際に)自動で追加されたアプリケーションの例外ルールはほとんどが「すべて(のポート)」というふうになってしまいます。 これってそのアプリケーションが起動している時は全ポートが開放されているということなのでしょうか? このままだと何か問題があったりするのでしょうか? 仮に、もし自分で新たにポートを指定した(メールの送受信)例外ルールを追加する場合には、内容についてどのように設定したら良いのでしょうか? ちなみに接続環境は以下のとおりです。 ・WindowsXP Home edition sp2 ・LANケーブルによるADSL接続(ルータ内臓モデム)/ PPPoE
- ベストアンサー
- ウィルス・マルウェア
- Norton Internet Security のファイアウォール設定
Norton Internet Security 2006 の「ファイアウォール>設定>プログラム制御」で、pop3s(995) を通すために Microsoft Outlook のインターネットアクセスを「カスタム」設定(通信先の指定、ポートの指定など)したのですが、何らかの理由でカスタム設定が消えてしまいます(新しいプログラムをインストールしたときは必ず、Internet Security を開き直したときは時々。「すべてを許可」にすると消えないが、あまりやりたくない)。そのたびにファイアウォール設定をやり直しているのですが、毎日数回だとさすがにめんどくさく、対策がありましたらご教示ください。よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ファイアウォールの設定
ウイルスバスターでファイアウォールの設定で悩んでいます。 まずファイアウィールを有効にしないと危険でしょうか?実際どれほど危険か分からないのです。 使用中のルールでホームネットワーク1,2の二つと他に二つありますが正しいルールを選択しないと効果はないのでしょうか?少しはあるのか、逆効果なのでしょうか? もう一つルールを作り特定のポートを開放しようと思っています。その場合作ったルールを選択して適用させないとポートを開放したことにはならないのでしょうか? お願いします。
- ベストアンサー
- ウィルス・マルウェア
- Windows Firewallの設定
OSは、XPのSP3です。 ウィルスバスター入れてますが、外部のスキャナからのスキャンが できないため、 サポートに確認したら、セキュリティソフトを外して試してみてください、といわれ、 やってみましたが、やはり駄目でした。 もう一度サポートに確認したら、WINDOWSのfirewallの 設定でポート(UDP)を空ける必要がある、とのことでしたので、 Windows のfirewall設定画面をおすと、 WindowsFirewall/Internet Connection Sharing(ICS)サービスが開始できません。と出ます。 ウィルスソフトが入っていると、FIREWALLは起動しないようになっているらしいですが、 設定の変更もできないのでしょうか? Windows Firewallの設定画面に入る方法、もしくは、UDPのポートを空ける方法など ご存知でしたら教えてください。 もし、UDPポートを空けることにより、ウィルスに感染する 可能性が高くなるなら、スキャンの起動は我慢して、PC側で操作すればなんとかなるので、 そうしたいと思いますが、、、
- 締切済み
- Windows XP
お礼
bonnumamanさん 回答ありがとうございます。 今までブラックだった部分が私の中でぼんやりですが、イメージできてきました。 ありがとうございました。