『LAN内でのアクセス禁止』のクチコミ掲示板

BA8000ProでLANポート1につながったパソコンからLANポート2につながったパソコンへのアクセスを禁止することはできるのでしょうか？ポリシールーティングとかスタティックルーティングとかがそれに当たるのかと思って調べてみたのですが、ちょっとよく分かりませんでした。

書込番号：3490249

BA8000Proの[管理設定]→[VLAN]で、
[VLAN機能]を有効にして、ポート番号ごとに所属するグループを分ければいいのでは？
（VLANの設定ページにあるヘルプ/？を読んでみてください）

書込番号：3490382

＞ぞう さん

ありがとうございます。VLANでもいいのですが、できれば4つのポートはすべて同じグループに入れて、
ポート1 → ポート2
のアクセスだけを禁止したいのです。そんな都合のいいことできるんでしょうか？

書込番号：3491149

>そんな都合のいいことできるんでしょうか？

もしかして、
ポート1 → ポート2 ------禁止
ポート2 → ポート1 ------許可
ということでしょうか？

ネットワークは詳しくないのでさっぱりですが、
ポート1 → ポート2のアクセスを全面禁止していたら、
仮にポート2のパソコンがポート1のパソコンに何か送れたとしても、
ポート1 → ポート2のアクセスが禁止されているので、
ポート2のパソコンでポート1のパソコンが返した返事（応答）を読めないと思うのですが．．．
（ポート1 → ポート2については、
「BA8000Pro 静的IPフィルタリング設定ガイド(PDF 373KB)」を見ながら、
「必要があって通すもの」を除き「すべて禁止」、の設定にでもするのかな？
する場合は、一番若い番号からIPアドレスとポートを指定して通す設定を行って、
その設定のすぐ後ろで、IPアドレスを指定して接続を禁止する設定を行うのかな？）

書込番号：3491249

＞ぞう さん

投稿ありがとうございますm(_ _)m
はじめに詳しく説明しておくべきでしたが、このような構成になってまして↓

BA8000Pro 【192.168.1.1】
1 従業員のパソコン 【192.168.1.4】
2 NAS (I-O DATA LANDISK) 【192.168.1.20】
3 ハブ
├私のパソコン 【192.168.1.3】
├仕事のパソコン 【192.168.1.2】
├ネットワークプリンタ 【192.168.1.23】
4 妻のパソコン 【192.168.1.5】

LANDISKに入っているファイルを従業員のパソコンから見れないようにしたいのです。LANDISK側で禁止することもできるのですが、そうなると毎回パスワードを入れなければならなくなって不便になってしまいます。ですので訂正すると1←→2のトラフィックだけが禁止できればいいなと。そんな高度な設定ってできるんでしょうか？

書込番号：3494110

いるかかさん、こんにちは。

>1←→2のトラフィックだけが禁止できればいいなと。

静的IPフィルタリングの設定で、
すべてのパケットを対象に、
192.168.1.4から192.168.1.20への接続を遮断する設定と
192.168.1.20から192.168.1.4への接続を遮断する設定を
すればいいのではないでしょうか？

BA Seriesトップ＞BA8000 Proトップ＞設定ガイド
http://www.ntt-me.co.jp/bar/ba8kp_guide.html

書込番号：3494447

ごめんなさい。静的IPフィルタの設定には、
「LAN0→LAN0」という項目がないですね。
BA8000Proの静的IPフィルタでは設定できませんね。

あれば下のような設定で済むと思うんですけど。

静的フィルタID---1
動作---破棄または破棄（ログ）
プロトコル---*
tcpフラグチェック---関係なし（プロトコルで「*/すべて」を選択してるので）
tcpフラグ---関係なし（プロトコルで「*/すべて」を選択してるので）
送信元IPアドレス---192.168.1.4
送信元ポート---*
送信先IPアドレス---192.168.1.20
送信先ポート---*

と

静的フィルタID---2
動作---破棄または破棄（ログ）
プロトコル---*
tcpフラグチェック---関係なし（プロトコルで「*/すべて」を選択してるので）
tcpフラグ---関係なし（プロトコルで「*/すべて」を選択してるので）
送信元IPアドレス---192.168.1.20
送信元ポート---*
送信先IPアドレス---192.168.1.4
送信先ポート---*

書込番号：3494496

>「LAN0→LAN0」という項目がないですね。
「LAN0→LAN1」「LAN1→LAN0」という項目がないですね。

書込番号：3494508

>>「LAN0→LAN0」という項目がないですね。
>「LAN0→LAN1」「LAN1→LAN0」という項目がないですね。

どっちも違うような気がしてきました。

LAN1ポートにつないだパソコンとLAN2ポートにつないだパソコン相互に
静的IPフィルタの設定ができればいいんですが、
2 NAS (I-O DATA LANDISK) 【192.168.1.20】だけ
グループを別にするしかないんですかね。
昨日実際に確認しておけばよかったです。
お手数をおかけしました。ごめんなさい。

書込番号：3494563

>2 NAS (I-O DATA LANDISK) 【192.168.1.20】だけ
>グループを別にするしかないんですかね。

ごめんなさい。頭が混乱してました。上はなしです。

書込番号：3494577

＞ぞう さん

書き込みありがとうございます。うわー、なんだか大変なことなんですかね(笑)？
すみません、僕肝心なことが分からないんですが、設定ガイドで出てくる用語「LAN0」と「LAN1」って何のことでしょうか？マルチセッションでフレッツとぷららに接続してるのですが、「アカウント/方向選択」のところで
Plala -> LAN0
LAN0 -> Plala
Flets -> LAN0
LAN0 -> Flets
とあるうち、PlalaとFletsがLAN1にあたるということなのでしょうか？LAN0、LAN1の概念が分からないです。よろしければこちらもご教授願いたいです。

書込番号：3495013

>LAN0、LAN1の概念が分からないです。

私は当初LANポートくらいに考え違いをしていましたが、
どうも違うようです。

Q. LAN側の論理インターフェース数は？
http://www.ntt-me.co.jp/bar/ba8kp_faq.html#1201


「BA8000Pro ポリシールーティング利用ガイド(PDF 494KB)」11ページにも、

>「lan0」とはプライマリLANネットワーク、
>「lan1」とはセカンダリLANネットワーク（DMZネットワーク）のことを指します。

とありました。


>PlalaとFletsがLAN1にあたるということなのでしょうか？

どうも、LAN1というのはルータからこちら側に「あれば存在するもの」のようです。
「BA8000Pro DNSルーティング利用ガイド(PDF 599KB)」の2ページの上や4ページの下に
絵が出てます。

LAN0というのは、普段PlalaやFletsの利用でお世話になっているネットワークのことで、
LAN1というのは、それとは別に、新たに「作れば存在する」ネットワークのようです。

>LAN側ポートには2つの論理IPインターフェースを設定することが可能です。
>それぞれプライマリLANネットワーク（lan0）、セカンダリLANネットワーク（lan1）と呼び、
>異なるサブネットを設定できます。
>DMZネットワーク設定時にはlan1がグローバルIPサブネットになります。
http://www.ntt-me.co.jp/bar/ba8kp_faq.html#1201

書込番号：3495380

＞ぞう さん

書き込みありがとうございます。
いろいろ調べて頂いてすみません。BA8000 Proは設定できる項目が多いだけ、それらを理解するのは大変です。とりあえずVLANでグループ分けしてみて様子を見てみます。実際に具合が悪ければまた自分で勉強するなり、ここで質問させてもらうなりします。ありがとうございました。

書込番号：3502888