有線LANポート数:4 対応セキュリティ:UPnP/DMZ
本ページでは掲載するECサイトやメーカー等から購入実績などに基づいて手数料を受領しています。
お気に入りに追加
有線ルーター > NTT-ME > BA8000 Pro
てつどんさん会社で、光ファイバー(ファミリータイプ)を導入するにあたって、
ルータの選定をしています。
そこで、BA8000Proが候補にあがっているのですが、
このルータではアクセス制限がどのぐらいまでできるのでしょうか?
会社のPCの利用状況としては、PCをインターネット接続可のものと
不可のものと分けることにしたいと思っています。
そして、接続可のものは、制限一切なし、
不可のものは、例外としてウィンドウズアップデートと、
ノートンシステムワークスのアップデートだけは許可したいと思っています。
例えば、他の機種をあげると、メルコのBLR3−TX4では、
特定のサイトの閲覧をすることを制限することができるようです。
しかし、この機能を先にあげた会社の利用状況に照らすと、
ほとんどのwebサイトを閲覧できないように設定しなければならず
現実的ではないと思います。
この逆の機能、つまり、特定のサイトだけはアクセスできて、
それ以外はできないという機能はBA8000Proにはついていないでしょうか。
どなたかご存じのかた教えてください。
また、他の方法があれば教えて頂きたいと思います。
宜しくお願いします。
書込番号:1670272
0点
>不可のものは、例外としてウィンドウズアップデートと、
ノートンシステムワークスのアップデートだけは許可したいと思っています。
XPを使用であればアカウントで管理者を制定すれば問題ないと
思われますが如何ですか。
書込番号:1670554
0点
てつどんさんへ
「静的フィルタ」項目でアクセス制限出来ます。
・但し項目数は「64」までとなる事。
・「IPアドレス」での設定となる事。
「WAN→LAN」間、「LAN→WAN」間それぞれに
NetBIOS等のフィルタリングを加えても「64」項目までしか
設定出来ませんから、それ以上数が必要の場合はNGです。
「64」項目しかありませんが、IPアドレスの範囲を上手くまとめれば
数的に間に合うかもしれません。
(例:192.168.1.1−192.168.1.100 等の範囲設定)
特定のサイトの閲覧について、BA8000ProはURLでの設定が出来ませんが、
接続相手先サーバーの「IPアドレス」が分かれば柔軟に設定可能です。
一度、BA8000Proの「静的フィルタ」項目で、1台のPC(IPアドレス)からの
動作を「pass(log)」にして、接続先の「IPアドレス」をlogingすると
ある程度の接続相手先サーバーの「IPアドレス」が判明します。
・・・か、もしくは「Nslookup」で調査するか?です。
Windows Updateは2〜3ヶ所の離れたIPアドレスのサーバーと接続される
場合があるので注意が必要です。又、OSによっても接続先が異なります。
(ここが重要です)
__________________________________
てつどんさんは、この部分を
『ほとんどのwebサイトを閲覧できないように設定しなければならず
現実的ではないと思います。』
とおっしゃっているのだと思いますが・・・。
__________________________________
Windows Updateとノートンシステムワークス Update時の接続相手先サーバーの
「IPアドレス」を調査し、その「IPアドレス」の範囲外の「IPアドレス」には
制限したいLAN内「IPアドレス」のPCからは接続出来ない様にすればよろしいかと
思います。「discard」
P.S.
これでしたらBA8000Proでなくても、「静的フィルタ」数の多いルータでしたら、
同様な事が可能だと思います・・・。
メルコ製品でも項目数が「32」まで(だったか?)あったと思います。
BA8000Proが優れているのは「送信元、送信先」のポート番号を個別に設定出来る
という事と、「静的フィルタ」項目で「pass(log)」にして、logingする事が出来る
という事です。
『yu_のメモ帳』 http://yu-memo.info
書込番号:1670627
0点
てつどんさん2003/06/16 00:11(1年以上前)
yu_ さんへ
お応えいただきありがとうございました。
本体をまだ購入していないので、実際に試すことはできないのですが、
NTT-MEのHPよりマニュアルをダウンロードして
「静的フィルタ」の項目を確認してみました。
このマニュアルを参照するとyu_さんのおっしゃるとおり、
閲覧を制限したいサイトのIPアドレスを「範囲指定」をすることで
アクセス制限ができることがわかりました。
しかし、IPアドレスをまとめるのが大変そうです。
ところで、これは、ルータの機能に頼らない方法なので、
掲示板のらち外のことで恐縮ですが、
インターネットエクスプローラのインターネットオプションに入っている
コンテンツアドバイザ機能はどうでしょうか。
http://www.asahi-net.or.jp/~cu5m-ooym/selfrating/
のサイトでは、有害情報であることを知らせる
「セルフ・レイティング・ラベル」がほとんどすべてのサイトで
記述されていないため機能していないと指摘しています。
しかし、それは、レベル設定で1以上を選択した場合であって、
最も強度の設定(レベル0)では、すべてのサイトの閲覧が不可能となり、
例外として、スーパバイザが許可したサイトだけが閲覧できるようです。
この点は、実際に試してみました。
この方法の欠点としては、各パソコンで設定をする必要があるということ、
レジストリを削除されてしまうと機能しないということ、
IE以外のソフトを使われてしまうと機能しないということが、
あげられるようです。
この方法での管理方法は、ルータでのアクセス制限と比較して
有用でしょうか?
ルータとは無関係な事項で恐縮ですが、情報をお持ちでしたら
ご教授ください。
書込番号:1672423
0点
げっちゅるさん2003/06/16 01:41(1年以上前)
>接続可のものは、制限一切なし、
これらのPCに関しては、なにも設定する必要はありませんね。
>不可のものは、例外としてウィンドウズアップデートと、ノートンシステムワークスのアップデートだけは許可
皆さんが指摘している通り、送信元IP群と送信先IP群の組み合わせで破棄フィルタを設定することで実現可能です。
しかし、或るURLに対して沢山のIPアドレスが割り当てられている場合(DNSラウンドロビン)や、アドレスが変わる可能性なども考慮すると、フィルタ数上限とは無関係に、IPアドレスベースのポリシー管理は非常に面倒です。
第3の解としては「DNSルーティングの応用」があります。
誰も使っていないかもしれませんが、BA8000ProのDNSルーティング設定では[インターフェイス]に「拒否」を設定することができます。
詳細マニュアルにも書いてありますが、「拒否を設定すると当該DNSクエリをどこにも転送せずに破棄します。簡易的なURLフィルタとしても利用可能です。」と書いてあります。
送信元アドレス: 制限したいPC群
クエリタイプ: すべて(ptr以外)
DNSクエリ: *
インターフェイス: 拒否
DNSサーバアドレス: (記入しない)
にすればOKだと思います。しかし、これではIPアドレス直打ちのアクセスは阻止できませんし、外部DNSサーバを参照するように設定された場合も阻止できません。
(てつどん さんの言うようなコンテンツアドバイザ機能を利用する方法にも同じようなことが言えます。)
このように、ユーザに設定変更を許可したネットワークで一定の制限をかけることは非常に困難です。
したがって普通の会社ではユーザ管理の大前提として、アプリのインストールを許可しない、設定変更を許可しない、コマンドプロンプトも許可しない、「ファイル名を指定して実行」なども許可しない、などのユーザ権限の大幅な制限を行います。
NTドメインやActiveDirectory構成ならばドメインで一括していくつかのユーザグループを構成し、グループごとに制限をかけます。ドメインを構成していなければ、パソコン1台1台で設定します。
書込番号:1672732
0点
げっちゅるさん2003/06/16 16:19(1年以上前)
上で書いた第3の解としては「DNSルーティングの応用」の例だけだと、特定のPCですべてのDNS解決ができなくなります。
特定のサイトだけ許可したい場合は、上のDNS拒否ルートの上(IDがより小さいルート)に、許可するサイトのDNS解決のためのDNSルートを設定すればいいです。
書込番号:1673864
0点
てつどんさん2003/06/17 00:00(1年以上前)
げっちゅる さん お応えいただきありがとうございます。
げっちゅるさんのいう「DNSルーティングの応用」について
もう少し教えてください。
「特定のサイトだけ許可したい場合は、上のDNS拒否ルートの上(IDがより小さいルート)に、許可するサイトのDNS解決のためのDNSルートを設定すればいいです。」
ということは、具体的には下記のような設定でよろしいのでしょうか?
先の設定よりも小さいIDでエントリし、
送信元アドレス: 許可したいPC群
クエリタイプ: すべて(ptr以外)
DNSクエリ: 例えば、ウィンドウズアップデートのURLなど
インターフェイス: 自動
DNSサーバアドレス: (記入しない)
上記でよろしいでしょうか。
また、げっちゅるさんが 下記のように述べていますが、
「或るURLに対して沢山のIPアドレスが割り当てられている場合(DNSラウンドロビン)や、アドレスが変わる可能性なども考慮すると、フィルタ数上限とは無関係に、IPアドレスベースのポリシー管理は非常に面倒です。」
これは、つまり、IPアドレスが変更されてたとしても、
URLは変更されることはない(しなくてもいい)ということなのでしょうか。
そうだとすると、DNSルーティングによる制限方法は、静的フィルタによる
アクセス制限方法よりも簡便になるという理解で宜しいでしょうか。
このような基本的な質問をして申し訳ありません。
宜しくお願いします。
書込番号:1675331
0点
げっちゅるさん2003/06/17 08:15(1年以上前)
「インターフェイス」欄はプライマリセッションのアカウント名でいいと思います。したがって、例えば192.168.1.60から192.168.1.70のパソコンのインターネットをUpdateサイトだけに制限したい場合などでは、
DNSルートID: (たとえば30)
送信元アドレス: 192.168.1.60-192.168.1.70
クエリタイプ: すべて(ptr以外)
DNSクエリ: windowsupdate.microsoft.com
インターフェイス: (プライマリセッションのアカウント名)
DNSサーバアドレス: (記入しない)
と、
DNSルートID: (たとえば31)
送信元アドレス: 192.168.1.60-192.168.1.70
クエリタイプ: すべて(ptr以外)
DNSクエリ: *
インターフェイス: 拒否
DNSサーバアドレス: (記入しない)
とすれば、
・192.168.1.60-192.168.1.70のPC群がWindowsUpdateにアクセスする際のDNS解決は、DNSルートID30により可能です。
・一方、192.168.1.60-192.168.1.70のPC群が他のサイトのDNS解決を行おうとしても、DNSルートID31により解決できずアクセスは不可能です。
・192.168.1.60-192.168.1.70以外のPC群は、どのDNSルートにもマッチせず自由にDNS解決できるので、どのサイトにもアクセス可能です。
となるはずです。DNSルートはIDが小さい順から参照されるそうなので順番に気をつけてください。
DNS名(ホスト名/ドメイン名)とIPアドレスは、必ずしも1対1の関係ではありませんし、永続的な関係でもありません。
ある1個のURLに対応するIPアドレスが変わることはよくあることですし、ある1個のURLに、たくさんのIPアドレスが関連付けられることも良くあります。(これはDNSシステムの長所です。)
>静的フィルタによるアクセス制限方法よりも簡便
簡便といえば簡便ですがあまり変わらないかも。上述のように、
1.制限をかけたはずのPCのDNSサーバ設定をどこかのプロバイダのDNSサーバアドレスにされたり、
2.IPアドレス直打ちでアクセスされたりすると、
DNSによる制限は無効になります。
1.に対しては、192.168.1.60-192.168.1.70から192.168.1.1のudp53に対するアクセスを許可するLAN->WANフィルタと、192.168.1.60-192.168.1.70から*のudp53に対するアクセスを破棄するLAN->WANフィルタを書けば制限できるかもしれませんが、2.はどうしようもありません。
まとめると、
アドレスによる制限は、IPアドレスが変更された場合に対処できない。
DNSによる制限は、アドレス直打ちのアクセスには対処できない。
となります。
うーん、よく考えるとアドレスはそれほど頻繁に変更されることはないので、やっぱりアドレスで制限かけたほうがいいかも知れませんね。
手持ちのWin2003とXPで見た限りでは、WindowsUpdateへのアクセスは必ず、
windowsupdate.microsoft.com(windowsupdate.microsoft.nsatc.net)
=207.46.249.61
を通るようです。192.168.1.60-192.168.1.70からこのアドレスへのアクセスを破棄するフィルタだけでうまく行きそうな気がします。
書込番号:1676059
0点
げっちゅるさん2003/06/17 08:26(1年以上前)
いつも長いカキコミすいません。
>192.168.1.60-192.168.1.70からこのアドレスへのアクセスを破棄するフィルタ
というのは間違いでした。
WindowsUpdate中にアクセスする可能性の或るアドレスすべてを許可して、そのあとに*へのアクセスを破棄しなければならないですね。
で、簡単に見た限り、WindowsUpdate関連のアドレスは結構多そうです。しかもOSによっては違うこともあるだろうし、ちょっと大変かもしれません。
やっぱりDNSでやったほうが簡単そうです。
書込番号:1676066
0点
げっちゅるさん2003/06/17 08:35(1年以上前)
またまたすいません、どうも寝ぼけています。
DNSによる方法もおいても、WindowsUpdateに関連するすべてのDNS解決を許可しなければなりませんね。ということで訂正です。
DNSルートID: (たとえば29)
送信元アドレス: 192.168.1.60-192.168.1.70
クエリタイプ: すべて(ptr以外)
DNSクエリ: .microsoft.com
インターフェイス: (プライマリセッションのアカウント名)
DNSサーバアドレス: (記入しない)
DNSルートID: (たとえば30)
送信元アドレス: 192.168.1.60-192.168.1.70
クエリタイプ: すべて(ptr以外)
DNSクエリ: .windows.com
インターフェイス: (プライマリセッションのアカウント名)
DNSサーバアドレス: (記入しない)
DNSルートID: (たとえば31)
送信元アドレス: 192.168.1.60-192.168.1.70
クエリタイプ: すべて(ptr以外)
DNSクエリ: *
インターフェイス: 拒否
DNSサーバアドレス: (記入しない)
と3つのDNSルートを入れれば良いんじゃないかと思います。
(ID29と30のDNSクエリ欄の「.」に注意)
ただし、更新内容によっては別のサイトに飛ぶことも考えられるので、よく調べる必要がありますね。
書込番号:1676078
0点
てつどんさん2003/06/22 01:03(1年以上前)
げっちゅるさんへ
お礼が遅くなり申し訳ありません。
具体的なことまで調べていただきありがとうございます。
機種を購入して試してみたいと思います。
ありがとうございました。
書込番号:1690210
0点
このスレッドに書き込まれているキーワード
「NTT-ME > BA8000 Pro」の新着クチコミ
| 内容・タイトル | 返信数 | 最終投稿日時 |
|---|---|---|
  顧客満足度bPって笑うよね。 |
2 | 2009/03/26 12:30:09 |
  スイッチングハブとして使用したい |
3 | 2007/01/23 7:35:05 |
  無線LAN で WOL !! |
1 | 2006/01/05 15:06:41 |
 IP電話の接続について |
0 | 2005/11/22 20:16:51 |
 背面に4個のLANポートですが・・ |
12 | 2005/11/16 20:47:15 |
 disneyBBに接続したいのです |
2 | 2005/03/14 14:55:51 |
| どうしてもWANランプが光りません。 |
2 | 2005/01/31 22:40:22 |
| LAN内でのアクセス禁止 |
12 | 2004/11/15 9:13:01 |
 ポ−トの解放の仕方がわからない |
8 | 2004/11/10 22:03:04 |
 Voipアダプタ |
3 | 2004/10/02 19:44:20 |
この製品の最安価格を見る
<18
のユーザーが価格変動や値下がり通知、クチコミ・レビュー通知、購入メモ等を利用中です
クチコミ掲示板検索
新着ピックアップリスト
-
【Myコレクション】グラボだけのつもりが芋蔓式に総とっかえになっちゃった
-
【その他】BTOパソコンを自作するとどうなるか
-
【欲しいものリスト】冬ボーナスで買うもの
-
【欲しいものリスト】メインアップグレードv4.23
-
【欲しいものリスト】予算23万程度
価格.comマガジン
注目トピックス
(パソコン)
