ファイアウォールで特定のポートだけ遮断したい

Windowsファイアウォールを使用しています。
このファイアウォールでは、「例外」として、特定のプログラムやポートを
「開放する」という設定ができますが、逆に特定のポートを「遮断する」ことは
できないのでしょうか。

あるプログラムを使用しており、このプログラムをWindowsファイアウォールの
例外に設定してあります。
このプログラムは複数のポート（使用ポートは固定のもの１つと、不定のものが１つ以上）を
使用しています。
このうち、固定ポートだけを遮断したいのです。

「例外としてこのプログラムの使用するポートは開放するけど、更に例外として○○番ポートだけは遮断してね」
という設定をしたいのですが、Windowsファイアウォールで可能ですか？
あるいは、何か別のファイアウォールソフトを使用する必要がありますか？

ご存知の方いましたら、お願い致します。

No.4 ベストアンサー 回答者： samtomsan 回答日時： 2011/12/31 01:28

Windowsファイアウォールは特定のポートの遮断はできないようですね。

Norton Internet Security なら特定のポートの遮断の設定が出来ますが。
フリーでいろいろなファイアーウォールがありますから、ポートを遮断できる物を探してみたらいかがでしょうか。
http://www.gigafree.net/security/firewall/
http://freesoft-100.com/security/firewall.html

この回答へのお礼

回答ありがとうございます。
やっぱWindowsファイアウォールじゃ無理なんですね。
おとなしくフリーで探そうと思います。

お礼日時：2012/01/01 17:10

No.3 回答者： pc_net_sp 回答日時： 2011/12/29 06:14

この様な設定は、企業では一般的にＬ２スイッチングハブを使っています。

Ｗｉｎ ＳＶ ２００３では、設定に限界があります。
Ｗｉｎ ＳＶ ２００３では、クライアントPCの方までファイアウォールが完全に機能しません。　＜確か。。。
なので、クライアントＰＣにもファイアウォール設定を入れないといけません。
ただ、クライアントＰＣに設定した物は、使用ユーザーにより解除できてしまう可能性があります。

AdministratorとユーザーIDの細かい設定と、ドメインコントロールを入れる事でクライアントPC使用ユーザーが勝手に解除できなくなりますが、Administrator権限はネット管理者しか使えないようにする事が必要です。

一般ユーザーにAdministratorのPassを教えてはいけません。
など、ローカルネットワークの使用権限を強化して下さい。



サーバマシーンがメーカー製なら、メーカーから設定のサポートが受けられるはずです。
自作PCで、パッケージ版サーバを入れている場合は、MSのサポートが受けられます。
ただし、両者とも有料サポートになると思われます。

会社で使っているのなら、メンテナンス費用を経理に計上しましょう。
会社でサーバー導入時に、一般企業はこの辺のサポートもサーバー導入費用として、経理に計上してます。　
（よっぽど全ての設定に自信があるネット管理者がいない限り・・・）



私の取引先、某病院でもDELLサーバからIBMサーバに乗り換える時、それなりの費用を支払っている為に両企業のシステムエンジニアが協力して、病院エンジニアが数人で作業するよりはるかに短時間でサーバ入れ替えを行いました。　
（平日深夜で済ませるほど。　データ量も膨大なので１０G転送。　病院エンジニアだけだと１G転送だったでしょう。）
費用がどれくらいかかったかは、部外者扱いなので私は分かりません。


　　　

この回答へのお礼

回答ありがとうございます。

ただ、丁寧に教えて頂いた後で申し訳ないのですが、Win2003を使っているのは、
クライアントOSの「ソケット10個まで」の制限を回避するためだけであり、
多分、教えて頂いている状況の使い方はしていないです・・・
↓恐らくですが、企業内で社員用PCを統括管理するとかの話ですよね？
> クライアントPCの方までファイアウォールが完全に機能しません。

お礼日時：2011/12/29 09:13

No.2 回答者： EF_510 回答日時： 2011/12/27 18:40

プログラムに対して関連づけるのではなく、ただ単純にポートを遮断するのでは問題があるのでしょうか？

例外の例外、ではなくて単純な遮断です。
Windows7で言えば「受信の規則」とか「送信の規則」とか。
「Windowsファイアーウォールでポートを開く」の手順を参考にしてください。（開くか閉じるかの処理が違うだけで定義方法は同じです）

この回答へのお礼

回答ありがとうございます。
先に申し上げておくべきでした。
環境はWindows2003Serverです。

そしておっしゃる通り、ただの遮断で問題ありません。
ただ、2003のWindowsファイアウォールにそのような設定が見当たりません。
新しく追加された機能なのでしょうか。

お礼日時：2011/12/28 13:11

No.1 回答者： localica 回答日時： 2011/12/27 12:50

netsh firewall　コマンドでポートの開放、制限の指定ができます。

ただし、根本的に問題があります。
サーバーならともかく、クライアントファイアウオールでは待ち受けサービス自体が存在しません。

というか、アプリケーションにより通信ポートは指定されているので（通常では）、アプリケーションの停止=ポートが使用できないということになります。

>このプログラムは複数のポート（使用ポートは固定のもの１つと、不定のものが１つ以上）を
使用しています。
>このうち、固定ポートだけを遮断したいのです。

固定ポートを遮断すると、セッションが開始できないので通信できなくなるのではないでしょうか。
プログラムの仕様次第ですけど、どうやって通信を確立するのでしょうね。

この回答への補足

すみません、教えて頂いたコマンドだと、GUIでやるのと同じことしかできないように見えます・・・
netsh firewall set portopening protocol=TCP port=**** name=test mode=DISABLE
で試したら、単に例外設定に追加された上でチェックボックスが外されるだけでした。
開放ではなく遮断設定をするコマンドが見つかりません・・・

補足日時：2011/12/27 13:16

この回答へのお礼

回答ありがとうございます。
コマンドで指定できるのは知りませんでした。
試してみようと思います。

> プログラムの仕様次第ですけど、どうやって通信を確立するのでしょうね。
プログラムの仕様により、その辺りの問題はありません。

お礼日時：2011/12/27 13:01