ルータ下の異なるネットワークアドレス間の通信を遮断する方法は？

同じサブネットを持つ２つの端末(A,B)をブロードバンドルータに接続し、それぞれ次のIPアドレスを割当てるとします。

　　　インターネット
　　　　　｜　（この間にADSLブリッジモデムが入る場合もある）
端末A－－ルータ－－端末B

(A)192.168.1.10/24
(B)192.168.2.20/24

端末A,Bともインターネットへのアクセス（同時）は可能で、端末A⇔B間の通信を全て遮断したいと考えています。

ルータではなく、スイッチであれば端末A⇔B間はネットワークアドレスが異なるため通信できないと思いますが、インターネットへの同時アクセスのため、ルータにしています。
しかしルータの場合、端末A⇔B間の通信を取り持つため、このままでは通信を遮断できないと考えます。

このとき、端末A⇔B間の通信を遮断するためにはどのようにすれば良いのでしょうか？ルータへのパケットフィルタ設定で遮断可能でしょうか？
ご教示いただければと思います。よろしくお願いします。

No.3 ベストアンサー 回答者： Toshi0230 回答日時： 2007/11/17 01:04

> ルータへのパケットフィルタ設定で遮断可能でしょうか？

基本的にはこれでOKです。192.168.1.0/24と192.168.2.0/24の間のやりとりをブロックしてください。

ただ、ネットワーク構成によっては完全ではありません（抜け道を作られる可能性があります）。どういうケースかというと、ブロードバンドルータのLAN側ポートがスイッチングハブになっている場合です。
この場合、完全にブロックしようとしたら(A)と(B)とが接続されているポートを、VLAN機能を使って分離するしかありません。
（VLAN機能を持つルータは業務機や高級モデルになるので、ちょっと値段が張ります）

それから、DMZとLANの間の通信はルータやファイアウォールの機能／設定によっていくらでも変わるので、「DMZにおけば安心」とはいえません。
必ず、適切な設定を行ってください。

この回答へのお礼

okg00様、kusa mochi様、Toshi0230様
ご教示下さいましてありがとうございました！
お３方のご回答、それぞれがとても勉強になりました。
VLAN機能を使って各端末間の通信を遮断するのが最も確実なようですね。それが叶わないようであれば、フィルタリングなどで対応しようと思います。

頂きましたご回答を参考にさせてもらいながら、更に勉強しつつ適切に対応していきたいと思います。
本当にありがとうございました。

お礼日時：2007/11/19 09:14

No.2 回答者： kusa_mochi 回答日時： 2007/11/16 16:17

>同じサブネットを持つ２つの端末(A,B)をブロードバンドルータに接続し、それぞれ次のIPアドレスを割当てるとします。

>
>　　　インターネット
>　　　　　｜　（この間にADSLブリッジモデムが入る場合もある）
>端末A－－ルータ－－端末B
>
>(A)192.168.1.10/24
>(B)192.168.2.20/24
　わざわざこの様なことをしなくとも幾つかの方法が存在する。

　例えば端末Aが外部公開するサーバーならば、DMZに配置すればそれでOKとなる。
　(DMZ側から従来のLAN側への通信はセキュリティ上の理由でブロックされるから)

　外部公開しないPCであれば、VLAN機能で2台のPCのVLAN IDを別のものに設定するか、他のLAN端末との通信を遮断する機能を持っていればその機能を有効にする事で通信は遮断出来る。

この回答への補足

ご回答下さいましてありがとうございました。
質問にDMZ等の記述が足りませんでした・・・すみません。

>外部公開しないPCであれば、VLAN機能で2台のPCのVLAN IDを別のものに設定するか、他のLAN端末との通信を遮断する機能を持っていればその機能を有効にする事で通信は遮断出来る。
なるほど。探してみると、VLAN機能を持つブロードバンドルータがありますね。
大変助かります。今後の参考にさせて頂きたいと思います。

補足日時：2007/11/16 17:22

No.1 回答者： okg00 回答日時： 2007/11/16 15:55

>同じサブネットを持つ２つの端末(A,B)

>(A)192.168.1.10/24
>(B)192.168.2.20/24
矛盾してます。「異なるサブネットを持つ」と解釈します。

ブロードバンドルータですか？
でしたら、LAN側とWAN側はNATなどで通信ができますが、LAN側自体はハブ機能しかありませんのでAB間は通信できません。
なにもしなくても良いですが。

※DMZにどちらかを指定していれば別。でも、ルーティングを設定しない限りパケット転送しないです。

ローカルルータでもLAN1とLAN2でルーティングはしますけど、LAN2の中ではルーティングしません。
ルータは基本的には２つのネットワークを接続する装置です。

この回答への補足

ご回答下さいましてありがとうございました。

>>同じサブネットを持つ２つの端末(A,B)
>>(A)192.168.1.10/24
>>(B)192.168.2.20/24
>矛盾してます。「異なるサブネットを持つ」と解釈します。
ご指摘、ありがとうございます。
端末A,Bとも /24 と同じサブネットマスクが設定されていても、
ネットワークアドレスが異なれば「異なるサブネットを持つ」と解釈すれば良い、ということですね。

>ブロードバンドルータですか？
>なにもしなくても良いですが。
設置しようと考えているのは、安価な（数千円程度）ブロードバンドルータです。おまけにDMZを利用することもありません。

実は、過去の回答を調べていて気になる回答がありまして・・・
http://okwave.jp/qa1093079.html
の中で、
>TEST3
>Routerの I/F1 に 192.168.0.1/24 と設定　I/F2 に 192.168.1.1/24 >と設定
>I/F1 に 192.168.0.11/24 という端末を接続
>I/F2 に 192.168.1.11/24 という端末を接続
>端末の GW は接続している Router の I/F
>結果：双方、疎通OK
>（これがが普通の考え）
上記の場合、テストした機器がYAMAHA RTX1000という比較的高機能な
ルータであるからでしょうか？

そうであれば、「ブロードバンドルータであれば、LAN側にはハブ機能しか・・・」
という回答で納得できます。

あと1つ。
>LAN2の中ではルーティングしません。
この意味が良く分かりません。
もしよろしければご教示いただけますでしょうか？
すみませんが、よろしくお願い致します。

補足日時：2007/11/16 17:15