FWフィルター設定で特定のIPセグメントのPCのみ通過する方法は?

前へ 次へ
このQ&Aのポイント
  • FWのフィルター設定で、特定のIPセグメントのPCのみ、通過できるような設定を行いたいと思っています。例えば、10.10.10.0/24セグメント上のPCの通信からのみ通過させたい場合、A, B, Cの設定のどれを選択すれば良いのでしょうか?
  • 質問ポイントは、10.10.10.0はネットワークアドレス、10.10.10.255はブロードキャストアドレスであるため、Bで問題ないかどうか、またはAを選ぶべきかどうかです。
  • どちらの設定でも特定のIPセグメントのPCの通信のみを通過させることができますが、ネットワークアドレスとブロードキャストアドレスが問題になるかどうかを確認する必要があります。
回答を見る
  • ベストアンサー

■FWのフィルター設定で、特定のIPセグメントのPCのみ、通過できるような設定にしたいのですが、、、

【設定】 FWのフィルター設定で、特定のIPセグメントのPCのみ、通過できるような設定を行いたいと思っています。 【質問】 例えば、10.10.10.0/24セグメント上のPCの通信からのみ通過させたい場合、以下A,B,Cの設定のどれでしょうか? A:送信元IP=10.10.10.0-10.10.10.255 の通信を通過。 後はすべて破棄。 B:送信元IP=10.10.10.1-10.10.10.254 の通信を通過。 後はすべて破棄。 C:どちらでもOK。 【聞きたいポイント】 10.10.10.0はネットワークアドレス,10.10.10.255はブロードキャストアドレスなので、 それが発信元にならないかと思うので、Bで問題ないでしょうか? それとも、普通はAにするのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.2

質問の趣旨は、送信元のIPの設定を10.10.10.0/24とした場合、実際に許可されるアドレスの範囲がAかBかどちらか、ということでしょうか? であれば、Aになると思います。 しかしながら、実際の送信元サブネットが10.10.10.0/24なのであれば、10.10.10.0と10.10.10.255はホストアドレスとして指定できませんから、現実としてBの範囲を許可することになります。 A,B どちらを設定すればよいか、ということであればどちらでも構いませんが、たぶんたいていのファイアウォールではネットワーク単位の送信元指定もできると思うので、あまり悩むところではないような気もします(^^;

cake333
質問者

補足

>A,B どちらを設定すればよいか、ということであればどちらでも構いませ >んが、たぶんたいていのファイアウォールではネットワーク単位の送信元 >指定もできると思うので、あまり悩むところではないような気もします はい、どちらでもよいと思うのですが、Bのほうで設定しました。 おっしゃるとおりネットワーク単位(10.10.10.0/24のような)で送信元指定 できるので、そのように直したほうが、いいかなぁとちょっと悩んでいる次第です(まだ変更できる時期なので)。 どちらでもよいなら、特に直す必要ないですかね。 (10.10.10.0/24のように指定したほうが見栄えがいいような気がしたので・・・・。(普通このように設定するる気がしてきたので・・))

その他の回答 (2)

  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.3

> (10.10.10.0/24のように指定したほうが見栄えがいいような気がしたので・・・・。(普通このように設定するる気がしてきたので・・)) 私の知る範囲では、ネットワーク表記ができるものであればネットワーク表記していますね。その方が見た目も簡単ですし、分かりやすいですし。 たぶん、プログラム的にもそちらの方が処理が早いと思います(まぁ、最近の機器は処理能力が高いので誤差のうちでしょうけど…)

回答No.1

ファイヤーウォールですよね。 ブロードキャストをFWの先に通しても意味ないと思いますが。 Bだと思います。 それから送信先の設定もあると思いますが。 BのポリシーはDMZにのみアクセス可能とか。方向が不明ですが。

cake333
質問者

補足

ご回答ありがとうございます。 >ブロードキャストをFWの先に通しても意味ないと思いますが。 >Bだと思います。 すみません、そのフィルター設定は、送信元についてのみの指定です。 送信先は今回の聞きたいポイントに関係ないので割愛しましたが、 DMZの特定サーバです(実際の設定では、送信先のアドレスも書きます。)。 聞きたいポイントは、送信元のアドレス範囲が、AになるのかBなのか について確認したかったです。 わかりづらい文章でしたら、すみません。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 異なるIPセグメントで通信させる方法

    端末AとBがあったとして(とりあえずWindowsのPC) AとBのIPアドレスのセグメントは異なるとします。 Bにはポート番号10000番のサーバーソフトが起動していたとします。 その場合AからBへUDPでポート番号10000に対してブロードキャストした場合、Bのサーバーソフトはそのパケットを正常に受信できるでしょうか?(フィルタドライバなどは使わずに一般的なソケットプログラムによる実装で) よろしくお願いいたします。

  • 他セグメントのPCをマイネットワークに表示させたい

    機械初心者ですが、VLANの設定することになりました。 勉強不足で申し訳ないのですが、教えてください。 セグメントA 192.168.0.0/24 255.255.255.0 セグメントB 192.168.2.0/24 255.255.255.0 セグメントC 192.168.3.0/24 255.255.255.0 と分けました。 [インターネット]--[ルーター]--[L3スイッチ]--[各セグメントPC] です。 それぞれのセグメントPCからpingが通る事も確認しました。 基本的にA⇔B⇔C間は特定のIP以外(ファイルサーバー・プリンター・管理PC)以外は 行き来出来ないようにルールの設定もしました。 質問 (1)セグメントAのファイルサーバー(仮に192.168.0.100とします)へ、 セグメントB・Cから直接\\192.168.0.100と打ち込めばアクセス出来ることは確認したのですが、 B・Cのマイネットワークに表示させることは出来ないでしょうか。(win7です) (Aに繋がっているPCのマイネットワークには出てきます) 欲しい答え:「出来る」or「出来ない」・「出来るならハブの設定なのか、各クライアントの設定なのか、そのやり方」 (2)的外れな質問かもですが、クライアントのディフォルトゲートウェイは セグメントによって違いますか?? インターネットに繋がっているルーター/192.168.0.101--L3スイッチのセグメントBのIP/192.168.2.254 だとしたらセグメントBに繋いでいるPCのディフォルトゲートウェイは 192.168.0.101ですか?192.168.2.254ですか?? 聞いてばかりですみませんが宜しくお願いします。

  • 異なる支店のIPアドレスを同一セグメントで繋ぐ事は可能?

    ある企業の異なる支店のPCのIPアドレスを、同一セグメントで繋ぐ事は可能なのでしょうか? 例えばある企業にA支店とB支店があるとして、A支店、B支店共に同一セグメント(192.168.1.XXX)のIPアドレスを振り分ける と言ったことは可能なのでしょうか?

  • AppleTalkやTCP/IPそれぞれでの同一セグメントの範囲とはどこまでなのか

    プリンタの設定をするときなどに同一セグメントである必要といったものがときどきありますが。 同一セグメントとはPCから送信されたデータが無条件に到達できる範囲ということで TCP/IPでは同一ネットワークアドレスの範囲が同一セグメントとかんがえていたのですが、あっていますでしょうか? またMacとかのAppleTalkの場合はIPとは違うということですが同一セグメントの範囲とはどこまでなんでしょうか? 知識不足で申し訳ありません、よろしくお願いします。

  •  IPアドレスとセグメントについて教えて下さい。

     IPアドレスとセグメントについて教えて下さい。  ルーター機能付きのモデムと無線BBルーターを 繋げて使用するので無線BBルーターの ルーター機能を無効にして使おうと思っています。  取り説を見るとルーター機能を無効にすると アクセスポイントとして使用できると書いてあるのですが 「ルーター機能付きのモデム」のIPアドレスを確認し 確認した アドレスと同じセグメントで、 異なるIPアドレスを設定する と書いてあるのですが 例として下記の数値がありました、 確認したアドレス:aaa.bbb.c.abc 設定するアドレス:aaa.bbb.c.xy  この場合 <aaa.bbb.c>の前半 3種類は同じで 最後の abcを別の数値に変えるという事でいいのでしょうか?

  • アライドレイアー3スイッチのFW通過設定を教えてください

    Allied(アライド)のレイアー3スイッチを使っていますが、設定が分からず困っています。。。 外からのファイアーウォール通過設定を入れ、外のIPアドレスから中のIPアドレスへの通信を通過させたいのですが、 設定の方法を教えて頂けないでしょうか。 中のIP ← (アライド) ← 外のIP ・設定は以下を入れています。(抜粋) create vlan='naka' vid=111 create vlan='soto' vid=999 enable firewall create firewall policy='****' add firewall policy='****' int=vlan111 type=private add firewall policy='****' int=vlan999 type=public add firewall poli='****' nat=standard int=vlan111 ip=中のIPアドレス gblin=vlan999 gblIP=NAT後のIP ちなみに 以下の設定を入れても通信できませんでした。。何か他の設定方法が必要なのでしょうか? add firewall poli='****' ru=1 int=vlan999 prot=ALL ip=NAT後のIP gblip=外

  • 同じセグメントのIPを知る方法

    同一セグメント内にあるPCのIPアドレスとホスト名を知るにはどうしたらよいでしょうか? 私はWindows7を使用しているので、コマンドプロンプトを起動。 Excelでping -a 192.168.0.1~192.168.0.255 と書いて、貼り付けをおこない、応答が返ってきたらそのPC名とホスト名を知ることができます。 これだとスマートじゃないような気がして何か良い方法がありましたらお教え頂けませんでしょうか?よろしくお願いします。

  • YAMAHAルータのフィルタ設定の読み方

    ip pp secure filter in 200 ip filter 100 pass-log 166.166.166.166 192.168.1.100 tcp 8000 * (166.166.166.166のIPアドレスは例です。) このような設定がYAMAHAのルータRT58iの設定の中にあるのですが、読み方がちゃんと理解できません。 この場合は、200番項目をWANからLAN内への通信で適用して、 166.166.166.166のグローバルIPアドレスが送信元アドレスで、送信元アドレスが宛先TCPポート8000への通信をしてきたら、LAN内の192.168.1.100のサーバの全ポートがこれに応えるという理解で良いのでしょうか?

  • 異なるセグメント間の双方向通信のための設定方法

    以下の要件を満たすために設定を見直したり、試行錯誤していますが、原因がわからずうまくいっていない状況です。 お手数をおかけしますがご教示くださいますようお願いいたします。 【要件】 端末Aから端末Bに対してPingによる疎通確認を行いたい。 【状況】 端末Bからインターネット接続可でサイト閲覧が行える。 端末BからPR-200NE及び端末Aに対してPingによる疎通は問題なし。 端末AからRTX1000のLAN2に対してPing疎通は問題なし。 端末AからRTX1000のLAN1に対してPing疎通不可。 端末Aから端末Bに対してPing疎通不可。 ----------------------------------------------------------------------------------- 【構成】 The Internet <--> PR-200NE <--> (X1) TZ100(X0) <--> (LAN2) RTX1000 (LAN1) <--> 端末B ※ 端末AはTZ100のX1とPR-200NEの間のセグメントにいます。 【環境】 1.NTT PR-200NE(192.168.1.1/24) ファームウェア:18.34 【静的ルーティング】 宛先:192.168.2.0/24 ゲートウェイ:192.168.1.50 宛先:172.16.200.0/24 ゲートウェイ:192.168.1.50 ※ 端末Bのセグメントは192.168.0.0/16ですが、ロンゲストマッチによりゲートウェイに対して送信されないので192.168.2.0/24にしています。 2.SonicWALL TZ100(X0(LAN):172.16.200.40/24,X1(WAN):192.168.1.50/24) ファームウェア:SonicOS Enhanced 5.8.1.12-65o.01.jpn 【静的ルーティング】 送信元:すべて 送信先:192.168.2.0/24 サービス:すべて ゲートウェイ:172.16.200.30 インターフェイス:X0 メトリック:20 ※ 端末Bのセグメントは192.168.0.0/16ですが、ロンゲストマッチによりゲートウェイに対して送信されないので192.168.2.0/24にしています。 3.YAMAHA RTX100(LAN1:192.168.2.20/16,LAN2:172.16.200.30/24) ファームウェア:Rev.8.01.29 【コンフィグ】 ip route default gateway 172.16.200.40 ip route 192.168.1.0/24 gateway 172.16.200.40 ip lan1 address 192.168.2.20/16 ip lan1 proxyarp on ip lan2 address 172.16.200.30/24 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 172.16.200.30 nat descriptor address inner 1 auto 4.端末A(Windows7 Home Edition(x64) 192.168.1.3/24 ゲートウェイ:192.168.1.1) Windowsファイアウォール、ウイルス対策ソフト無効 5.端末B(Windows7 Professional(x64) 192.168.2.10/16 ゲートウェイ:192.168.2.20) Windowsファイアウォール、ウイルス対策ソフト無効 -------------------------------------------------------------------

  • セグメントを越えたPCへのping

    前提知識が乏しいのでうまく説明しづらいのですが、 現在我が家にFTTHのルータとメーカー(BUFFALO)のルータの2台があります。 FTTHのルータ(A)に数台がぶら下がり、メーカールータ(B)にも別のセグメントで数台がぶら下がっています。 仮にAのIPを192.168.0.1 BのWAN側が192.168.0.2、LAN側が192.168.1.1とします。 それぞれネットワークアドレスを算出し、同一ネットに存在するものとしてAからBのWAN側にはpingが通るものの、BのLAN側にはpingが通りません。 他セグメントへpingを通すためには同一のネットワークアドレスにする以外に考慮しなければならないこと(ルータの設定など)は何があるんでしょうか? 初心者な質問ですみません。よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する