社内ネットワークのインターネット閲覧制御について

社内ネットワークの管理をしている者ですが、
ルーターの設定がいまいち分かりませんので教えて下さい。

各拠点とはＩＰ－ＶＰＮで接続しており、本社のルーター経由でインターネットに出られるような構成です。
各端末のアドレスは固定です。
現在は、接続不可端末に対し、配布時にプロキシの設定をダミーアドレスに設定し、「いじくるツール」というフリーソフトでそのプロキシ設定を触れないようにしています。
この方法も判る人には判ってしまうので、本社のルーター（センチュリーシステムＸＲ－３００）で特定のＩＰアドレスだけを通すような管理方法に変えたいのです。
以前の投稿でこのようなことは可能なようなことを見たのですが、いざ設定してみても何処を触ってよいのか手探り状態です。

フィルターという機能があるので、現在は
icmp,tcp,udpを全て許可、最後にそれ以外は破棄
としていますが、
最後から２つめに、
入力側（ルーターへの入力）のポート、
動作を破棄（deny）、
プロトコルはtcp、
送信元のＩＰアドレスに接続不可端末のＩＰアドレス、
送信元ポートは8080（http？）、
送信先は特に指定無し
を現在の設定の最後に付け加えました。
しかし思うような動作はしません。
設定場所が根本的に間違っているのでしょうか？

No.2 回答者： kuma-ku 回答日時： 2005/02/09 11:36

こんにちは

マニュアルを見る限りは、普通のフィルタリングシステムのようですので、３つのケースで説明させていただきますね。
[マニュアル]
http://www.centurysys.co.jp/product/xr300/xr300_ …

ケース1）本社のInternet 向けRouter

送信元：Proxy Server：80(HTTP)
送信先：ANY：ANY

ケース2）本社の拠点接続用Router

送信元：ANY(または拠点のNW)：ANY
送信先：Proxy Server：8080(またはProxy Server 接続Port)

ケース2）本社の拠点接続用Router

送信元：ANY(または拠点のNW)：ANY
送信先：Proxy Server：8080(またはProxy Server 接続Port)

また、基本的にフィルタリングは上からマッチングをチェックしますので、「全て破棄」は最後に入れるようにしてください。

No.1 回答者： noname#115702 回答日時： 2005/02/09 10:08

センチュリーシステムというルータは使用したことがありませんが、フィルタを以下の様にしてみたらどうでしょうか。

送信元ポートは8080（http？）　→　指定無し
送信先ポートは8080

想定ですが、現在の環境にはproxyサーバは実在しないんですよね？
送信先tcp 80番ポート(http)をフィルタし、念のため同様にtcp 8080もフィルタすれば良いと思います。

ただし、送信先IPアドレスに何を指定するかは環境で異なってしまいますので、言及しません。
送信元ポートはセッションを張る度に変わるのが普通ですので、
少なくとも送信元tcp8080は間違いだと思います。

この回答への補足

ありがとうございます。
プロキシは存在しません。
やってみたのですがうまくいきません。
基本的なことなのですが、
フィルタをかけるのは入力側（ＷＡＮ→ＬＡＮ）なのでしょうか？
あるいは出力側（ＬＡＮ→ＷＡＮ）なのでしょうか？

現在、入力側フィルタでは、
tcp,udp,icmpのみ許可、後は破棄
出力側フィルタでは
tcpのnetbiosとSMBのポートを破棄、他は許可
としています。

入力側フィルタで、宛先の指定としてローカルＩＰアドレスとポートを書きました。
だめなようなので色々試行錯誤しましたが、
ゲートウェイ認証フィルタというのがあり、
パケット送信時？に
宛先のＩＰアドレスに対してTCPのポート80を破棄
という設定をしたところ、このアドレスからのインターネット接続を止められました。
フィルタの場合のフィルタリングの方向というのは、
外部から見ての方向をいうのでしょうか？
この辺がよく判りません。
ご存知でしたら、教えていただけないでしょうか？

補足日時：2005/02/09 11:46