特定IPアドレスにのみインターネットアクセスを許可したい

近く、Windows Server 2008にお客様のサーバを移行します。
現行のサーバはLINUXで、そこではdhcpd.confでの設定にて
特定のIPアドレスにのみインターネットアクセスを許可し、
DHCPにて自動で割りあてられたIPにはLAN内のみのアクセスを
許可していると聞いています。

ここで質問なのですが、WindowsServer2008単体での機能で、
上記のアクセス制御は可能なのでしょうか？
もしくは、何かサードパーティー製のアプリケーションや、
ルーターでの設定を考えたほうが良いのでしょうか？

WEBを探しても有益な情報が見つからずに困っております。
ご見識をお持ちの方、ご回答頂けますと幸いです。

No.4 回答者： Toshi0230 回答日時： 2009/12/05 16:36

> 固定IPを設定している箇所のdomain-name-serversにグローバルIP(プ

> ロバイダの持つIPのようです)が記載されています。
> この設定で制御しているのではないでしょうか？

えーと、これはDNSサーバの指定を変えているだけで、アクセス制御をしている、と呼べる物ではないですね。
社内のDNSサーバにインターネット上のホストの名前解決機能を持たせないようにすることで、アクセス制御らしきことができなくもないですが、IPアドレスを直打ちしたり外部のプロキシサーバを利用したりすればあっさり破られる代物ですので注意が必要です。

> WindowsServer2008で同様の制御をしようとすると、DHCPサーバで
> 以下のような設定で制御は出来ないものでしょうか？

スコープオプション内でルータやDNSサーバを設定することはできますが、予約は単に個々の端末に割り当てるIPを指定するだけで、独自のDNSサーバを指定したりとかはできないようです。
これをdhcpdサーバと全く同じように設定するのは難しそうですね…

No.3 回答者： xinu 回答日時： 2009/12/01 20:19

> 固定IPを設定している箇所のdomain-name-serversにグローバルIP(プ

> ロバイダの持つIPのようです)が記載されています。
> この設定で制御しているのではないでしょうか？

そのようですね。
DHCP にて動的にアドレスを割り当てたクライアントに対しては、外部の名前解決ができないような DNS サーバアドレスを配布して、インターネットにアクセスできないようにしているようです。

ただ、この方法だけで厳密にはアクセス制限できていないような気がしますが。

例えば IP アドレス直指定したり、DNS サーバのアドレスを DHCP から配布されたものを使用せず、ユーザが外部の名前解決が可能な DNS サーバアドレスを指定してしまった場合、インターネットにアクセスできてしまうような...

お客さん的には厳密にアクセス制限ができなくてもよいということなのでしょうか?

> WindowsServer2008で同様の制御をしようとすると、DHCPサーバで
> 以下のような設定で制御は出来ないものでしょうか？

すみませんが、私は WindowsServer2008 の DHCP サーバの設定については分からないので、こちらについてはアドバイスできません。

No.2 回答者： Toshi0230 回答日時： 2009/12/01 00:27

No.1さんと同様の意見ですね。

普通、DHCPサーバでアクセス制御はやらないです。
「DHCPで動的に割り当てるIP領域にはインターネット接続を許可せず、特定の固定IPアドレスのみインターネット接続を許可する」
というルールのフィルタをルータなりファイアウォールなりで設定するのが一般的な方法ですし、私ならそうやります。

もう一度現行の設定の詳細を確認された方がよいかと。

この回答へのお礼

ご回答ありがとうございます。

No.1の方への返答で現在見えた設定等をまとめて書かせて頂きました。

引き続きお知恵を拝借させて頂けますと幸いです。

お礼日時：2009/12/01 19:34

No.1 回答者： xinu 回答日時： 2009/11/30 22:16

本当に DHCP サーバの設定だけで、アクセス制御しているのでしょうか?

まず現行の DHCP サーバの設定(dhcpd.conf)を入手するなどし、現状のアクセス制御がどのように実現されているのか詳細を正確に把握することが必要です。

基本的に IP アドレスでアクセス制御したいなら、ルータでフィルタリングするべきで、DHCP サーバで行うべきことではありません。

この回答へのお礼

ご回答ありがとうございます。

本日、お客様の現行サーバからdhcpd.confを取得し、改めて内容
を確認してみました。

中身は以下のようになっています。

--ココカラ--
ddns-update-style none;
ignore client-updates;
not authoritative;

default-lease-time 18000;
max-lease-time18000;

option subnet-mask 255.255.255.0;
option broadcast-address192.168.***.255;
option routers192.168.***.***;　//ルータのIP

subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.***.*** 192.168.***.***;

option domain-name-servers192.168.***.***;　//サーバのIP
option netbios-name-servers192.168.***.***;　//サーバのIP
option netbios-node-type8;

host hoge { hardware ethernet aa:00:aa:00:aa:00;
option domain-name-servers211.129.***.***,211.129.***.***,192.168.***.***;
fixed-address 192.168.***.***; }
}
--ココマデ--

固定IPを設定している箇所のdomain-name-serversにグローバルIP(プ
ロバイダの持つIPのようです)が記載されています。
この設定で制御しているのではないでしょうか？
ルータの設定を直接見ることは出来なかったのですが、設定仕様書を
見る限り、VPNで繋がれた拠点WAN内のみ通信可能な設定になっている
ようです。


WindowsServer2008で同様の制御をしようとすると、DHCPサーバで
以下のような設定で制御は出来ないものでしょうか？
○スコープオプション
　ルータ：LAN内から見たルータのIP
　DNSサーバ：サーバのIP
○予約クライアントオプション
　ルータ：LAN内から見たルータのIP
　DNSサーバ：プロバイダの持つグローバルIP、サーバのIP


初心者質問で恐縮ですが、引き続きご回答頂けますと幸いです。

お礼日時：2009/12/01 19:31