- 締切済み
ウェブ経由でのアプリ制限
ウェブ経由で動かしているアプリがあるのですが、社外からは使えないようにして、自社からのみ作動できるようにしたいと思っています。要件としては、アプリには手を入れずに使用PCの環境側で制限させることです。私は単純に、 「route -p add あて先アドレス mask あて先サブネット 社内GATEWAYアドレス」 というふうにして、自社のゲートウェイを通った場合にのみアクセスできる、と思ったのですが、社外からでもアクセスできてしまいました。 この使い方は間違っていますか? また他に何か良い方法はありますでしょうか? どうか助けて頂ければと思います。
- rh490820
- お礼率61% (63/103)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- insider007
- ベストアンサー率26% (61/231)
ルートだけで決着したいということでしょうか。 それならLAN側のIPでアクセスさせたらどうでしょう。 route addを逆に外からのアクセスに使います。 外部からアクセスするPCにWEBサーバのプライベートアドレスを社内のグローバルアドレスをもったゲートウェイに聞くように設定してはいかが。 プライベートアドレスをグローバルで聞くというのはルール違反ですけど。
- Toshi0230
- ベストアンサー率51% (836/1635)
アクセス元のIPアドレスで制限をかける、という考えは悪くないですが、 > 「route -p add あて先アドレス mask あて先サブネット 社内GATEWAYアドレス」 とやったところでデフォルトゲートウェイが設定されていればそちらを使いますので片手落ちです。 解決策としては、 ・WWWサーバで社外IPからのアクセスをブロックする ・途中のFirewallなどで社外IPからのアクセスをブロックする ・"route add" したサーバのファイアウォール機能(あれば)で社外IPからのアクセスを拒否する ・ "route add" したサーバのデフォルトゲートウェイ設定を削除し、必要なところからのアクセスのみ許可するように "route add" を記述する といったところでしょうか。 環境わからないので何とも言えないところもありますが、最初の2つが比較的よくつかわれる方法だと思います。
補足
具体的な回答ありがとうございます。 実は不定期に入れ替えがあるお客様にも開放しているアプリなので、 現状稼動しているサーバー側やファイアーウォールでのIP制限はかけたくなく、また開発部隊は別なのでアプリに手を入れるような危険は冒させたくないという事情がありました。 最初は、ショートカットやスタートメニューを削除して、VBSで社外からはアクセス出来ないように制御したのですが、直接、~.EXEを叩かれるとNGなので、なんだかかっこ悪いから辞めました。 自社の営業が使っているノートPCにだけ~.EXEより下の階層で何らかの仕掛けをしたいと思っています。