セキュリティが強化されたWindowsファイアウォールの送信の規則において、
特定のポート宛てのアウトバウンド通信をすべて拒否する目的で、
以下のような送信の規則を作成しました。
プロファイル:すべて
有効:はい
操作:ブロック
プログラム:任意
ローカルアドレス:任意
リモートアドレス:任意
プロトコル:TCP
ローカルポート:任意
リモートポート:<特定のポート>
許可されているコンピュータ:任意
そしてブロックされていることを検証するため、以下のようなコマンドで
上記の設定をしたホスト上から、Nmap(https://nmap.org/)を用いて
SYNパケットを送信しました。
nmap -sS -p <特定のポート> <任意のIP>
その際パケットをキャプチャして確認すると、SYNパケットがWindowsファイアウォールを
通過してしまっていることが確認できました。
TCPセッションの確立までは行かないのですが、SYNパケットが抜けるだけでも
ファイアウォールとしては使えません。
2017年9月までの更新プログラムはすべて適用済みのWindows Server 2012 R2
およびWindows7、10でも同様の事象が確認できました。
これはWindowsファイアウォールの公式な仕様なのでしょうか。
それともSYNまで完全に止める設定方法があるのでしょうか。
