- 締切済み
XPでLAN内のNAS接続のみを許可する方法?
現在、デスクトップPCで、WindowsXPとWindows7のデュアルブートの環境になっています。 来年、WindowsXPのサポートが切れますが、WindowsXPでないと動作しない(Windows7 Professinal の XP モードでは動作しない。)ハードウェアやアプリもあるので、サポート終了以降も以下の条件でWindowsXPを限定的に使いたいと考えています。 (1)デュアルブートでWindowsXPを選択した時は、インターネット接続は不可とする。 ただし、LAN内のNASへはアクセス可能とする。 (2)デュアルブートでWindows7を選択した時は、インターネット接続もLAN内のNASもアクセス可能とする。 デュアルブート環境なので、ルーターから見るとこのデスクトップPCはWindowsXPでもWindows7でも同じMACアドレス(=同一のハードウェア)と見え、同じIPアドレスを割り当てるので、ルーター側の設定で上記ことは実現できないように(私には)思います。 上記の事を実現するための方法等に関し、アドバイスを頂きたく、よろしくお願いいたします。
- kmsakutomo
- お礼率30% (28/92)
- ネットワーク
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足回答確認しました。仮想OSでのXP運用ネットワークとセキュリティホールなどの脆弱性対策についてですが、ご要望されている内容が、脆弱性の保護とセキュリティ制限を希望している時点で、家庭用のウイルス対策やルーターでのセキュリティ規制では難しい内容であった為です。 辛うじて、Trendmicro製ソフトで脆弱性対策オプション機能を付ける事が可能なウイルス対策が可能ですが、それでは不十分といった判断でしたので、専用ルーターでのIPフィルタ、URLフィルタをNATマスカレード配下で動作させる必要があった為です。 もう一つの方法は、XPパソコンにNAS共用のみのLANボードを増設し、ルーター側でLAN分割(ポートベースVLAN)を実施、Windows7のLAN側のインターフェイスは標準LAN機能で接続(VLAN側・インターネット及びNAS接続認可側)→WindowsXPの増設LANポート側を分割したVLANポートに接続+NASへの静的ルーティング及びNAT変換のインバウンド側VLAN-IPアドレスは破棄すればOKかと存じます。 参考までに・・「http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/」 それと、上記条件でもセキュリティはあくまでも脆弱性対策付きウイルス対策は必要かと存じます。 VLAN構築出来るルーターとしては、Yamaha「RTX810」、「RTX1200」、「RTX1100」、「RT107E」あたりと、マイクロリサーチ製「MR-GL2000」ですが、ポートベースVLANを構築しグループ別静的ルーティング(インターネットNAT変換有りのVLANルートと無しのルートのVLAN)といった方法と、マルチプルVLAN対応ハブでの構築でしたら可能かと存じます。 マルチプルVLAN対応ハブとしては、Buffalo製「BSL-WS-G2108M」、「BS-G2108M」でしたら可能です。マルチプルVLANで構築するとしましたら、利用していますルーターは既存のもの流用で可能です。
- nnori7142
- ベストアンサー率60% (755/1249)
他の方の仰る様に、WindowsXPのセキュリティホールの関連とデュアルブートの関連で無理ですね。 デュアルブート構成ではなく、仮想OSソフト(VMWare-Player、VirtualBOX等)配下でのWindowsXP稼働条件でしたら、仮想的にLAN機能を独自に構成されますので、その仮想LAN機能に固定IPアドレスの設定を実施→そのLAN-IPアドレスに対してのルーターのIPフィルター及び帯域制限の設定ですね。 上記、帯域制限とIPフィルターも一般的な家庭用ルーターですと、細かな規則設定が出来ませんので、UTM機能付きルーター、例えばYamaha製「SRT100」、「FWX120」などでの運用形態が良いかと存じますが、OSサポート終了後のOS自身の欠陥、不具合、ハードウェアの動作も含めた稼働不安定要因も路程する可能性が十分にあります。 ウイルス対策も含めた脆弱性対策の件については、上記条件でも不十分で、一般的な家庭用ウイルス対策ソフトでは無防備そのものといったレベルになります。法人向けソフトでは、暫定的にTrendmicro等にて、ウイルスバスター・コーポレートエディション+脆弱性対策プラグインライセンス等にてサポートされますが、完全であるとは広告しておりません。
- bunjii
- ベストアンサー率43% (3589/8249)
質問の内容では個人用のデスクトップPCについて所有者が自己管理していると解釈します。 Windows XPをインターネットへ接続出来ないようにする理由も理解できますがインターネットへ接続しなければ安全と考えることは早計です。 デュアルブートでWindows 7で使用中にインターネットから不正なプログラム(マルウェア、スパイウェア等)を取り込まないと言う保証はありません。 Windows 7が取り込んだ不正なプログラムをWindows XPが起動したときに活動しないと言う保証もありません。 同一ハードウェア内に有れば他のPCやNASサーバーへ拡散する可能性もあります。 それらのリスクを承知の上でサポート終了のOSを使い続けると言う認識を持ってください。 トラブルが自己の範囲で収まれば良いのですが他人を巻き込むことの無いように心がけることが必要になります。 既に対策案は出ていますが、Windows XPで起動したときのみローカルエリア接続の設定を手動にして固定IPアドレスを設定します。 この時、デフォルトゲートウェイとDNSサーバーのIPアドレスを空欄にするだけで良いでしょう。 デフォルトゲートウェイが指定されていないときは同一セグメント内のみのアクセスに限られるのでNASサーバーへはアクセスできます。 TCP/IPv4の通信について基本的な学習をするとルーターの役割とデフォルトゲートウェイの要否が理解できると思います。 ルーターへのアクセスはできますがルーティング機能を利用できませんのでインターネットへはリクエストが送信されません。 また、DNSサーバーの指定も無ければサイトの宛先が見つからず接続不可能です。
お礼
コメントありがとうございました。 >デュアルブートでWindows 7で使用中にインターネットから不正なプログラム(マルウェア、スパイウェア等)を取り込まないと言う保証はありません。 Windows 7が取り込んだ不正なプログラムをWindows XPが起動したときに活動しないと言う保証もありません。 はい、Windows7での環境でも、Microsoft Update で Windows や Office のセキュリティパッチを最新状態にする、Abode ソフトや Java 、ウイルスセキュリティソフトなどを最新バージョンにする、など、最善と思われる対策をするつもりです。 WindowsXPにおける対策については、実際のハードウェアにて確認できました。
- notnot
- ベストアンサー率47% (4900/10357)
横からですが、 >ここのコメント内容が良く理解できませんでした。 オペレーターとはインターネットサービスプロバイダー(ISP)の事と理解しましたが、 ここの文脈上では、「オペレーター=PCを使う人」です。 No1の回答の方は、あなたが個人で使う話じゃなくて、会社のPC管理者か何かで社員にXPをネットにつながせないようにする方法を質問していると勘違いしたのでしょう。 なお、ファイアーウォール設定で、入出力ともNASのIPアドレス以外を全部ブロックしておくとより安心できます。
お礼
コメントありがとうございました。「オペレーター=PCを使う人」という事、理解できました。 >なお、ファイアーウォール設定で、入出力ともNASのIPアドレス以外を全部ブロックしておくとより安心できます。 このファイアーウォール設定とは、コントロールパネルから設定できる Windows 標準機能の事でしょうか? それともウイルスセキュリティソフトでのパーソナルファイアーウォール設定の事でしょうか? 具体的にどのような設定をすれば良いのか、いまいちイメージがわかないので、補足して頂ければ助かります。 以上、よろしくお願いいたします。
- anmochi
- ベストアンサー率65% (1332/2045)
デスクトップPCとNASが同じLAN(IPネットワークセグメント)なのであれば、XPのネットワーク設定でデフォルトゲートウェイとDNSサーバを空っぽにする(=IPアドレスとネットマスクだけを入力してそれ以外を空白にする)事で、そのXPはNASにはつながるけどインターネットには出ていけないという事は実現できる。 けど、そういう事じゃないよね? 質問内容からDHCPっぽいし、固定だったとしてもオペレーターがこっそりデフォルトゲートウェイと優先DNSを設定してしまえばインターネット接続できるようになるから(アドミン権限持ちの場合)。 XPのときだけ固定IPにするという手はあるかも知れないけど、結局オペレーターの良心によるし、そもそもXPのサポート切れに対するセキュリティ策としてだったらこれでは全く意味ないし。
お礼
早速のレスポンス、ありがとうございました。 >デスクトップPCとNASが同じLAN(IPネットワークセグメント)なのであれば、XPのネットワーク設定でデフォルトゲートウェイとDNSサーバを空っぽにする(=IPアドレスとネットマスクだけを入力してそれ以外を空白にする)事で、そのXPはNASにはつながるけどインターネットには出ていけないという事は実現できる。 けど、そういう事じゃないよね? いいえ、実現したかったのは、まさにこの事です。 元々、ルーターからこのデスクトップPCへDHCPにてIPアドレスを指定していますので、このデスクトップPCをXPで使う時に、上記で指定されたIPアドレスとネットマスクだけを指定し、デフォルトゲートウェイをブランクにする事により、当方の希望する事が実現できました。 ありがとうございました。 ところで、 >固定だったとしてもオペレーターがこっそりデフォルトゲートウェイと優先DNSを設定してしまえばインターネット接続できるようになるから(アドミン権限持ちの場合)。 XPのときだけ固定IPにするという手はあるかも知れないけど、結局オペレーターの良心によるし、そもそもXPのサポート切れに対するセキュリティ策としてだったらこれでは全く意味ないし。 ここのコメント内容が良く理解できませんでした。 オペレーターとはインターネットサービスプロバイダー(ISP)の事と理解しましたが、ISPがグローバルIPを割り当ててもルーターでプライベートIPに変換してしまい、かつXP側のネットワーク設定でTCP/IPを手動(=IPアドレスもデフォルトゲートウェイもルーターからの自動設定ではなく、XPで設定したものを使う)となっているので、ISPがこれらの値をこっそり設定する事はありえないと思うのですが。。。。 以上の点に関し、補足して頂ければ助かります。
お礼
コメントありがとうございました。 ただし、企業ユースでなく、個人でのパソコン使用の話なので、頂いたコメントのような事までは必要はないように私には思います。