★拠点間接続でのセキュリティについて★

こんばんは。

掲題の内容ですが、下記の構成になっています。

A社LAN（PC）－RT56v＝＝ネット網＝＝RT56v－B社LAN（PC）
また、どのLANのPCも固定IPで管理されています。

やりたいことは、A社PCからは、B社PCの内の決められた（１台）だけにアクセス可能になるようにしたいです。

私は、まだまだ未熟なのですが、検討案の１つで、
決められた（１台）をDMZ化＜静的マスカレード＞しようと考えていますが、筒抜けになるのでかなり不安です。

SonicWallは高すぎて提案には不向きです。

何とかネットワークの設定or安い機器構成にて対応したいのですが、参考URLだけでも結構ですので、ご教授下さい。

No.4 ベストアンサー 回答者： denza 回答日時： 2003/11/10 21:15

ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn *

ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 100 pass * * * * *
ip lan secure filter in 1 2 100
ip lan secure filter out 1 2 100
上記フィルターでA社からB社（逆も）へのwindowsファイル共有が出来なくなります。
（WINDOWSのTCPIPネットワークでのファイル共有はポート137－139を使用してます。
netbios_ns-netbios_ssn 表記は137－139のヤマハＲＴでの表記です。
in/out両方書いてありますが、片方だけでよかったような気もします。）

これでwindowsでのファイルレベルでの公開は互いに出来なくなりました。

しかし特定のマシンだけファイル共有がしたいとのことなので、違うポートを使用したアプリケーションを使用すればよいわけです。

前に書いたPcAnwereやLaplinkなどのリモートコントロールやファイル転送が出来るアプリや、FTP（ポート２１）
HTTP（ポート８０）なんかを使えば違う形で「ファイル転送」が出来るということです。

でもFTPやHTTPを使用した場合他のＰＣからアクセスされる場合もあるので、うまく使わないと逆効果の場合もあります。

PcAnwereやLaplinkなんかでしたら個別にセキュリティもかけられるのでこの辺がいいのかな。

参考URL：http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/a …

この回答へのお礼

詳しい回答ありがとうございます。

う～ん、やっぱりLaplink等のソフト使用でのファイル転送しかないですか。。。DMZはヤメにします。

参考にします。
ありがとうございました。

お礼日時：2003/11/21 18:42

No.5 回答者： denza 回答日時： 2003/11/10 21:42

#5です。

すみません。１つ勘違いをしてました。
VPN（Ipsec）の場合、ポート500が空いていると成立してしまうようなので、＃５を実現させるには、ボランチの前に（LAN側）更にローカルルーターをつけたし、そこに137-139のフィルターをかけることをしてあげなければなりません。

VPN環境でボランチだけでできる裏技があるかもしれませんが、そこまでは経験ありません。すみません。

この回答へのお礼

補足回答ありがとうございました。
参考にさせて頂きます。

お礼日時：2003/11/21 18:56

No.3 回答者： denza 回答日時： 2003/11/08 21:28

会社同士の接続なので多分WINDOWSのファイル共有を相手の会社に見せたくなく、しかし特定のPCはファイル共有したいと言うことなのでは。

？
だとすれば（VPNが完成している前提で）NETBIOS関係のポート（137-139）をネットボランチのLAN側インターフェースにかけ（これでWINDOWSのファイル共有は出来なくなります）、PcAnywereなどのリモートコントロールやファイル共有のソフトをA社（1台または複数）B社（1台）にインストール設定すれば出来るのでは？
またはFTPやHTTPを使っても出来そうですね。
アイデアですけど。

この回答へのお礼

回答ありがとうございます。

denzaさんの言う通りのことをしたいのです。
denzaさんの回答の確認ですが、ルータ側でセキュリティをかけて、ファイル共有するPCにのみソフトをインストするということでしょうか？？

＞またはFTPやHTTPを使っても出来そうですね。
すみません。ピンとこないのですが、どういう方法でしょうか？おおまかで結構ですので、できたらご教授頂けませんでしょうか？

お礼日時：2003/11/10 09:58

No.2 回答者： noname#41381 回答日時： 2003/11/07 11:50

#1の方が回答されていますが、

・SonicWall導入程度の予算がない(これで提案というのもあれですが...)
・管理的に複雑な処理は行いたくない
・PCをインターネット上には公開したくない
ということであれば、RTの機能を用いたインターネットVPNがいいでしょうね。

RT56ならPPTPでVPNが構築できます。
http://www.rtpro.yamaha.co.jp/RT/docs/pptp/index …

IPSecでも可能です。
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/inde …

また「ネット網」というのが不明ですが、足回りがフレッツ回線なら
フレッツグループアクセス等を使うという手もありますね。
これであれば、回線ごとVPNになるので機器設定も簡単でしょうし。
（その分費用がかかりますが...）
NTT東日本なら「フレッツグループアクセス」
http://flets.com/groupaccess/index.html
NTT西日本なら「フレッツグループ」
http://www.ntt-west.co.jp/flets/group/

この回答へのお礼

回答ありがとうございます。
すみません、質問の仕方が悪かったようで。。。
ネット網とは、「インターネット網」を略しました。
足回りは、両社ともフレッツADSL以上です。
IPSecは、必要とするプロトコルが多いですね（汗）。

実は、ネットボランチVPNを使用することは実証済みです。
その場合に、A社PCからB社LAN内のPC１台にのみアクセスできる方法を検討しています。
ご教授お願い致します。

お礼日時：2003/11/08 14:14

No.1 回答者： suezou3 回答日時： 2003/11/06 20:15

RT56v同士ならばVPNを使用してみてはどうでしょうか。

この回答へのお礼

回答ありがとうございます。

すみません、質問の仕方が悪かったようで。。。
実は、ネットボランチVPNを使用することは実証済みです。
その場合に、A社PCからB社LAN内のPC１台にのみアクセスできる方法を検討しています。

ご教授お願い致します。

お礼日時：2003/11/08 14:09