- ベストアンサー
社内LANでのインターネット管理方法について
教えて下さい!! ネットワーク管理の仕事をしてます、社内には固定IPアドレスのLANでPC80台ありますが社長がウィルスや業務外での使用を考慮しインターネットの接続はしていません、ただ業務上不便な事務職のPC10台だけをインターネットを使える様にしたいと思案中ですルーターを使ってADSLでやりたいと思いますが許可しないPCがインターネットを使用出来ない何か良い方法等アドバイス願います。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
そういう環境であれば、デフォルトゲートだけで問題解決ですね。 デフォルトゲートウェイとは、自分の属するネットワーク以外と通信をするときに、どこを経由するかを指定するものです。 #2で書いた例を使うと、ルータのアドレス(192.168.0.1)を経由しないと外部ネットワークには出られないわけですが、個々のPCが、「192.168.0.1が外部への出口だよ」と知らないと、外と通信できません。それを知らせるのがデフォルトゲートウェイです。 ここで言う「外」とは、インターネットとは限りません。 社内LANが複数のサブネットで構成されている場合などは、他のサブネットへアクセスする際にもデフォルトゲートを通過します。 デフォルトゲートとなっているルータは、各PCから受け取ったパケット(信号)を、ルーティングテーブルというルールに従って、中継します。 つまり、デフォルトゲートが指定されていないPCや、デフォルトゲートが指定するアドレスがルータではない場合は、自分の所属するネットワーク以外のものと通信できません。これを利用して外部への通信を止めるということが可能です。 プロキシやMACでの制御は、#3の方が答えてくれたので割愛します。
その他の回答 (3)
- Xaval
- ベストアンサー率58% (61/105)
プロキシサーバを使っても結局は同じになりますよ。 プロキシサーバのみをインターネットに接続させるという設定がまず下記の場合と同じです。10台が1台になるだけです。 あとはプロキシに接続可能なIPアドレスを登録し、 プロキシ側ではじきます。 HTTPプロキシなら禁止語句のリストも使えますし、どのページをみたかなどのログも取れます(エロページ禁止)。 POPやSMTPも別途プロキシサーバを立ち上げる必要があります。 また、FTPは不可、Winnyは不可、同時にウィルスチェックなどとしたいときにも効果的です。 (Google: delegate) 無線でなければMACアドレスレベルでする必要は無いと思います。(ハードウェアトラブルに連動して設定を変えなければいけないから)。
お礼
なるほどです、よく解りました。 管理はプロキシサーバー導入してやった方がいろいろと細かな事が出来て、セキュリティ的にも良さそうですね。 有難うございました!
- uzzra
- ベストアンサー率43% (55/127)
いくらくらいの予算があるかにもよりますが、なるべくお金がかからない方法を考えてみましょう。 現在は80台のPCが、ハブ(又はスイッチ)を介して接続されているということですね?ネットワークはひとつだと仮定して書きます。 まず、現在あるPCは固定IPアドレスを設定しているとのことですが、「デフォルトゲートウェイ」は設定なさっていますか? ひとつのネットワークだったら今までは不要だったと思いますが。 (たとえば、すべてのPCが 192.168.0.xxx でサブネットマスクが 255.255.255.0 の場合など) ADSLルータを購入したら、まず既存のLANに接続すると思います。 そこで、ルータのLAN側IPアドレスが仮に 192.168.0.1 だったとしましょう。 LAN内のPCで、デフォルトゲートウェイが 192.168.0.1 に設定されているPCは、インターネットに接続できるようになります。 ですから、接続させたくない場合は、デフォルトゲートウェイをそれ以外のアドレスか、もしくは空白にしておけばよいのです。 ただし、上記の方法は、各個人でIPアドレスを自由に変更できてしまう場合には無効ですね。管理者のアカウントにだけIPアドレスの変更を許可している場合には、これだけでOKでしょう。 上記だけでは不足の場合、#1さんのおっしゃるように、ルータで制御する方法があります。ただし、ルータにそのような機能が無いとだめです。ルータ側で、インターネットへの接続を許可するアドレスを固定してしまうのです。 ただしこれにも落とし穴はあります。 たとえば、 192.168.0.20 のPCはインターネット接続を許可したとします。それで、たまたま 192.168.0.20 のPCの電源が落ちているなどして、そのアドレスが使用されていないときに、本来インターネット接続してはいけない他のPCに 192.168.0.20 のアドレスを設定されてしまうと、アクセスできてしまうのです。 上記を避けるには、MACアドレスを使った許可/不許可の設定をする方法や、プロキシサーバという、インターネット接続の中継を行うサーバを置いて、そこを経由してアクセスさせる方法もあります。 これらは、必要ならば追って説明します。
補足
丁寧な説明ありがとうございます。 現在は80台のPCがハブを介してひとつのネットワークに接続されています、「デフォルトゲートウェイ」は設定していません(恥ずかしながら設定の意味と方法の知識不足の為)、各個人でIPアドレスは自由に変更できない環境なのでデフォルトゲートウェイの設定で大丈夫そうです。 MACアドレスやプロキシサーバーを使った方法も参考までにお教え願えますか?
- old98best
- ベストアンサー率36% (1050/2908)
ルーターの基本的機能でOKです。 IPアドレスが固定でしたら、簡単ですね。 ルーターのデータ中継ルールで、許可されたIPアドレス以外のLANのアドレスの信号はインターネット側へ通さないように設定するだけです。 FWD設定だけで良いと思います。 ウイルスなどの防御からすると、インターネットから入ってくる信号も許可したパソコンのIPアドレス以外には通らないようにした方が良いのですけど。
お礼
ありがとうございます! なるほどルーターの基本的機能で出来るのですね、ちなみにお勧めのルーターがあったら教えてもらえますか? あとインターネットから入ってくる信号も許可したパソコンのIPアドレス以外には通らないようにした方が良いとゆうのは、具体的にはどのような方法がありますか?
お礼
すごく良く解りました、ありがとうございます! 是非この方法でやってみたいと思います。