Windows Server 2003で、特定のポート(たとえばtcp/80)のみについて、特定アドレス(たとえば管理用PCとして決めた特定のマシンのIPアドレス）からのみ接続を許可する方法は、Windows組み込みの機能では Windows Firewallを使ってもIPSecを使っても実現することはできない、らしい。

Windows Firewallを使うと、全てのポートをブロックして特定ポートのみを例外として接続を許可するといったことはできるが、例外の対象ポートにanyを設定することが出来ないため、特定のポート以外は全てのアドレスからアクセスフリーといった構成を組むことが出来ない。

IPSecを使うと、特定のポートに対して全てのアドレスから接続をブロックするといったことは簡単に出来るのだけど、その中で特定のアドレスのみ接続を許可する様な例外を設定することが出来ない。特定のアドレスのみ接続を許可するフィルタをブロックのフィルタと同居させることはできるのだけど、フィルタの優先順位を設定することが出来ないため、どうも一部アドレスを許可してもそちらは適用されずどのアクセスもブロックのほうに引っかかってしまう様。特定のポートのみ鍵が無いと通信できないようにする設定はできるけど、管理端末へのアクセスが制限されない場合、端末から鍵を取り出して他のマシンに設定すればアクセス自由になるのでは意味がない。端末側の設定が必要ってのがいただけないし。

うーん・・サーバの要件としては結構よくある話のような気がするのだけど、なんで出来ないんだろ。不思議。
しかもWindows Firewall使えば一見できるかもと思ってしまうところが嵌る。出来ないことを知らずにいろいろ調べてしまう人は絶対に結構な人数いるような気がするのだけど。