- PR -

ネットワーク参照できないようにするには・・・

1|2 次のページへ»
投稿者投稿内容
vext
会議室デビュー日: 2007/03/07
投稿数: 11
投稿日時: 2007-05-14 15:48
現在下記のようなネットワーク構成で、
各クライアント(A,B,C,・・・)からデータをサーバに吸い上げるといったサービスを検討しております。

サーバと各クライアント間はIP−VPNで接続し、
各クライアントは、それぞれ別会社というような構成です。

■ネットワーク構成

サーバ
|
FW
|
[インターネット]
| | | | |
A B C D E


■各端末のプライベートIPアドレス

サーバ:192.168.0.100
A:192.168.10.10
B:192.168.20.10
C:192.168.30.10
D:192.168.40.10
E:192.168.50.10


■サーバ環境
回線:FTTH
OS:Windows2003ServerEnterprise
サービス:ActiveDirectory(ドメインコントローラ)、DNS
ドメイン:storaging.jp


■クライアント環境(クライアント全て同じ)
回線:ADSL
OS:WindowsXP
ドメイン:storaging.jp


■問題点
各端末でネットワーク参照をできないようにするためには、どのようにすればよいのでしょうか?
詳しく申し上げますと現在の状況は、
[マイ ネットワーク] - [ネットワーク全体] - [Microsoft Windows Network]
にて、クライアントA からクライアントB が参照できてしまう状態です。(その逆も参照できてしまう)
これを互いに参照できないようにするためには、どのようにすればよいのでしょうか?
サーバ、FW機器を増やさないようなやり方がないかと日々悩んでおります。

どなたかアドバイスやご指摘などいただけないでしょうか?

お忙しい中大変恐縮ではございますが、よろしくお願い致します。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-05-14 16:40
企業間でのWindowsファイル共有は如何なものかと思います。

引用:
vextさんの書き込み (2007-05-14 15:48) より:

■問題点
各端末でネットワーク参照をできないようにするためには、どのようにすればよいのでしょうか?
詳しく申し上げますと現在の状況は、
[マイ ネットワーク] - [ネットワーク全体] - [Microsoft Windows Network]
にて、クライアントA からクライアントB が参照できてしまう状態です。(その逆も参照できてしまう)
これを互いに参照できないようにするためには、どのようにすればよいのでしょうか?

上記状況はWindowsファイル共有では必然的な結果だと思えます。

こうしたケースでは企業間通信ミドルウェアを採用すべきだと思います。
# 企業内環境でしか使用しておりませんが、サーバ間の情報共有には重宝しています。
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2007-05-14 16:55
引用:

BackDoorさんの書き込み (2007-05-14 16:40) より:
企業間でのWindowsファイル共有は如何なものかと思います。

引用:
vextさんの書き込み (2007-05-14 15:48) より:

■問題点
各端末でネットワーク参照をできないようにするためには、どのようにすればよいのでしょうか?
詳しく申し上げますと現在の状況は、
[マイ ネットワーク] - [ネットワーク全体] - [Microsoft Windows Network]
にて、クライアントA からクライアントB が参照できてしまう状態です。(その逆も参照できてしまう)
これを互いに参照できないようにするためには、どのようにすればよいのでしょうか?

上記状況はWindowsファイル共有では必然的な結果だと思えます。

こうしたケースでは企業間通信ミドルウェアを採用すべきだと思います。
# 企業内環境でしか使用しておりませんが、サーバ間の情報共有には重宝しています。



私も”BackDoor”さんの意見に基本的には賛成ですが。
センター側の IP−VPNルーターの設定で何とかなりそうな気がするのですが

サーバ
|
FW
|
[インターネット]  <−−− **ここの所のルーター で
| | | | |
A B C D E

それぞれ
■各端末のプライベートIPアドレス

サーバ:192.168.0.100
A:192.168.10.10
B:192.168.20.10
C:192.168.30.10
D:192.168.40.10

のスタティックルートを設定してできるのでは無いかと

ネットワークマスクを255.255.255.0にすれば
A.B.C.Dのネットワークを擬似的に分離出来るのでは?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-05-14 17:17
ファイル共有接続なんですから、

接続先サーバで利用可能なユーザ認証情報(*)を
ユーザが知らなければ接続できないし、
((*) 今回は接続先がドメインコントローラなので、
storaging.jp ドメインのドメインユーザのみです)

接続させたくない資源にそのユーザへのアクセス権が付与されてなければ
資源へのアクセスはできません。


接続先サーバのアクセス権設定と管理、してますか?


その他要件しだいでは、別にパケットフィルタやルーティングでも制御は可能ですが、
ファイル共有へのアクセスコントロールは、原則ユーザ認証とACL設定でやるべきでしょう。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
わちゃ
大ベテラン
会議室デビュー日: 2005/12/05
投稿数: 162
お住まい・勤務地: 東京
投稿日時: 2007-05-14 17:38
どこか、途中のルーターで、送信元が 192.168.0.0/24 のパケットのみを通すようにすればよいのでは?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-05-14 17:47
若干ミスリードしてました。
クライアント->クライアントの接続ですね。

基本的には考え方一緒です。
お互いにドメイン参加してて、
お互いにドメインユーザでログオンしてる場合、
アクセス許可あたえた共有を明示的に作成しない限り、
実際には資源にはアクセスできないはずです。

コンピュータ自体見えないようにする、なんて要件なら話は別です。
(見えても共有資源にアクセスできないなら問題ないと思いますが)
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
vext
会議室デビュー日: 2007/03/07
投稿数: 11
投稿日時: 2007-05-16 13:49
皆さんいろいろアドバイスご提供下さいましてありがとうございます。

コンピュータ自体を見えないようにしたいので、ルータでパケットフィルタリングをやってみようと思います。

すごく助かりました。ありがとうございますm(_ _)m
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-05-16 14:00
引用:

コンピュータ自体を見えないようにしたいので、ルータでパケットフィルタリングをやってみようと思います。

そんな安直な判断でいいんですか?

Microsoftファイル共有機能絡みの各通信をパケットフィルタで
意図したとおりに制限するのは結構厄介です。
http://www.monyo.com/technical/windows/msnet/
にあるような、各種さまざまな通信が裏で走って成り立ってるため、
制限が原因で意図しない機能障害が起きる可能性はあります。
要件と、それを実現させるための前提知識が無い限りお勧めしません。

コンピュータを見えなくする方法自体はあります。
http://www.atmarkit.co.jp/fwin2k/win2ktips/261svhide/svhide.html
ただし、見えないこととアクセスできないことは別なので、
アクセスさせないための対策(アクセス権制御)も必要でしょう。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)