- ベストアンサー
LANを組む際の疑問
LANを組もうとしている者なのですが,何せ初心者なので色々なことがわかりません.どなたか以下の点について(それらのことが詳しく解説されているHPでも可)ご教授下さい.OSは2000です. 1.20台のPCを1台のサーバが管理するとします. そのうち5台に関してはサーバを通してインター ネットに接続することを許可したいとします. (この5台を通すのならばアカウントさえもっ ていれば誰でもネットに接続可とします) 残りの15台は,LANの中にはあるけれどイン ターネットに繋ぐことはできない状態にしま す. こうした管理をする場合は20台のPCにスタティ ックなIPを与えて,そのIPによりインター ネット接続可/不可を判断させる. このような押さえで正しいでしょうか? 2.このLANはノートパソコンなど,外部のPCを 接続することも可能な状態にしておきます. そうした場合,内部で管理されている上記で割り 当てたスタティックなIPを見つけだしさえ すれば,そのノートパソコンにそのIPを打 ち込むことで,LANにログオンしインター ネットに接続することができてしまうのでしょ うか?もしそうならば,防止策は? 宜しくお願いいたします.
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
>「NICにIPを2つ振る」というものがピンとこないのです. >これは「1台のPCであるにもかかわらず2つのIPを持っている」ということで >しょうか?それとも「IP群を2つ作り,一方のIP群に属するPCだけサーバを介 >して外部に出ることができるようにする」ということでしょうか? >「#3」のご説明だと,この2つを並列して使っている?のでしょうか? その通りです。 Win9xの世界では、1枚のNIC(ネットワークインターフェースカード)には一つのIPアドレスしか設定できませんが、WinNT/2KおよびUNIXの世界では複数のIPアドレスを割り当てることが可能です。まあ、トラフィックの問題等もあるのであまり沢山を割り当てるのは考え物でしょうが、2つや3つは問題ないと思います。 で、2種類のIP群を作って、インターネットへルーティングするグループとしないグループに分割するのです。 #3と重複しますが、IP体系は下のようになるかと。 インターネットに接続する側 Win2K eth0:192.168.0.1/24 PC 192.168.0.2~6/24 192.168.0.0/24に関してルーティングを記述 インターネットに接続しない側 Win2K eth1:192.168.1.1/24 PC 192.168.1.2~254/24 と言うところでしょうか。 ものは試し、NICにIPを追加してみてください。その方がよく判ると思います。
その他の回答 (5)
- ez-ya
- ベストアンサー率76% (10/13)
>実はその「社内ルール」というのが問題でして,絶対ハックしようとする人間がいるのです.汗. まあ、そうでしょうね。誰か一人はいるんですよね。パソコン雑誌のよからぬ記事を信じて勝手する人が。 >下の手法だと「LANにはログオンできてもネットは繋げない」といった類の設定も可能なのでしょうか? 下と言うのはNICに2つのIPを設定する方でしょうか? であればYESです。 TCP/IPのプロパティで[詳細設定(V)]をクリックするとIPアドレスというテキストエリアがあり[追加(A)]で新しいIPアドレスを設定できます。 このときに、もともとのIPとは別セグメントになる様なIPを設定すれば、OKです。 これで、Win2Kサーバは社内の2つのセグメントからの接続を受け付けるようになり、Win2Kへのログインは両セグメントから可能です。 ルーティングの設定に関しては、現在手元にWin2Kサーバがないので詳しくは話せませんが、確かインタフェース毎にeth0とか名前を付けて、それ毎にルーティングを書けたと思います。(もう1年も前にやったことなので、すっかり忘れちゃいましたが) internet | | ruter |-----------| Win2KSever |ルーティングで外へ | |----| | | PC PC 図的にはこんな感じですかね。左側のPCが社内のみのセグメントで右のPCがルーティングして外へ行けるセグメントになります。
- ez-ya
- ベストアンサー率76% (10/13)
先程回答しましたez-yaですが、もっと簡単な方法がありました。 クライアントPCのTCP/IPの設定で、インターネットに接続するPC以外はデフォルトゲートウェイを設定しないと、社内セグメントの外へはパケットを送れなくなります。 ただ、勝手にデフォルトゲートウェイを設定する人がいれば話は別なのですが、そこは社内ルールと言うことで。
補足
レスありがとうございます. 実はその「社内ルール」というのが問題でして,絶対ハックしようとする人間がいるのです.汗. 下の手法だと「LANにはログオンできてもネットは繋げない」といった類の設定も可能なのでしょうか?
- ez-ya
- ベストアンサー率76% (10/13)
Window2000であれば、1つのNICに対して複数のIPアドレスが指定できます。また、DHCPサーバもありますからこんな解決方法は如何でしょう。 1:NICにIPを2つ割り当てる。例えば eth0:192.168.0.1 255.255.255.0 eth1:192.168.1.1 255.255.255.0 2:eth0のセグメント上にインターネットへ接続する5台のPCを接続(5台のPCのみ192.168.0.2~6を割あてる)し、eth0のセグメントだけルーティングする。 3:eth1のセグメントにはDHCPでダイナミックにIPを割り当てる。
- PtoP
- ベストアンサー率27% (24/86)
ルーティングですね。 1.いいと思います。 2.MACアドレスを調べちゃうとか。
補足
レスありがとうございます. ホント,LAN(2000)は全くの初心者なもので...汗. 「ネットに繋ぐことのできるPCのMACアドレス」を1台1台調べ,それを登録することによって未登録のPCを排除するということでしょうか? それはOSに登録するのでしょうか?それともルータ(のユーティリティー)にでしょうか? また,その外部(=途中からくっつけたノート)のPCに「LANには入れるけどネット(=外部)には出られない」という制限の下に動作させることはできるのでしょうか? 宜しくお願いいたします.
- Pesuko
- ベストアンサー率30% (2017/6702)
サーバーをPROXYサーバーにすればできますが・・
補足
丁寧なご説明ありがとうございます.m(_ _)m 便乗して,もう少しご教授下さい.汗. 「NICにIPを2つ振る」というものがピンとこないのです. これは「1台のPCであるにもかかわらず2つのIPを持っている」ということでしょうか?それとも「IP群を2つ作り,一方のIP群に属するPCだけサーバを介して外部に出ることができるようにする」ということでしょうか? 「#3」のご説明だと,この2つを並列して使っている?のでしょうか? 宜しくお願いいたします.