- 締切済み
社内LANからインターネットへの接続規制について
社内LANから商用IP-VPN網を経由してインターネット接続しております。 現在、以下の2パターンの接続方法があります。 ■1:ブラウザでProxy設定をした接続(Proxyは商用IP-VPN網内にあり) ■2:ブラウザでProxy設定なし(社内のDNSで名前解決してIP-VPN網へ) ユーザーがProxyを設定しても、しなくてもインターネット接続できる状態です。 全てのPCを■1の経路でしか接続できないように設定し、Proxyが対応していない ポートを使う業務用PCや、Proxyに対応していないソフトを使うPCのみ、■2の経路 を使うような設定を行いたいのです。 どこで、どの様な規制を行うのが妥当なのでしょうか? 物理的な接続は、 [PC]→[ルータ]→[ADSL網]→[IP-VPN網]→[インターネット] です。 よろしくお願い致します。
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- holy666
- ベストアンサー率76% (13/17)
- holy666
- ベストアンサー率76% (13/17)
proxyの待ちうけを80番以外にしてルータでDestPort80を塞げば Proxyを使う以外に方法が無くなるかと思いますけど、HTTPのみ が対象なのかどうかとかもあるので…
お礼
回答ありがとうございます。勉強になります。 ご説明不足でしたが、ProxyはVPN網内にあり、ベンダーのサービスの1部で利用しているのでカスタマイズ設定等の融通がなかなか利きません。 対象はhttpだけではなく、https、ftp等も含みます。
- 774danger
- ベストアンサー率53% (1010/1877)
PCのIPアドレスが固定であれば、 ・特定のPCのみ外部との直接通信を許可 ・その他のPCは直接通信不可 というアクセスリスト(フィルタ)をルータに書けばいいですが、DHCPで自動割り当てしていたりすると、No.1のかたが書かれているように何らかの方法でPCを識別して通信許可/不可を制御してあげる必要がありますね。 proxyが対応していないポートを使う業務用PCやproxyに対応していないソフトを使うPCと、その他のPCを区別する方法はあるんでしょうか? IPアドレスでフィルタを設定した場合、実はPCのIPアドレスを変えられたらおしまいですけどね......... どこまで真面目にフィルタリングするかにもよりますが、802.1xとか使おうとするとそれなりにいいスイッチを買わないといけません。
お礼
回答ありがとうございます。 やはりルータで規制するのが一般的なのですね。 ■2のアクセス方法で、社内のDNSでインターネットの名前解決を行わないようにしてしまおうかと思ったのですが、あまり一般的ではないのでしょうか。 > proxyが対応していないポートを使う業務用PCやproxyに対応していないソフトを使うPCと、 > その他のPCを区別する方法はあるんでしょうか? 一斉に規制して、申告があったPCのみを規制解除しようと思ってます。
- takizawa-777
- ベストアンサー率37% (6/16)
networkのサイズが分かりませんが dstportによるフィルターを書くか、macでフィルターを書くかですかね。 ただ、ダイナミックなネットワークであればかなり面倒だと思いますので 1xを使うんでしょうね。
お礼
回答ありがとうございます。 ルータの設定で規制する、ということでしょうか。 ルータが拠点ごとにあるのですが、通常は全拠点のルータを設定することになるのでしょうか? 1x、ちょっと調べてみました。認証を使うみたいですね 勉強してみます。ありがとうございます!
お礼
ご回答ありがとうござます。 社内インフラの管理を担当しているのですが、ルータに関しては業者任せに していたので、あまり知識がありませんでした。 ルータの設定で試行してみます。 その前に、通信機器に関するスキルアップが必要ですね・・・。 ありがとうございました。