特定のパソコンだけインターネットできないようにしたい

質問よろしくお願いします。
現在、社内でルーター（無線、有線混在です）を介して7台のPCでLANを組んでいます。
そのうちの1台だけ、外部インターネット接続できないようにしたいのです。
でも、7台のPC間での通信は現状のままにしたいのです。
インターネット接続を外したい理由は、そのPCの使用者が上司の不在のたびにインターネットで遊んでいるので、仕事がはかどらない為です。
社内のLANからそのPCを外すわけにはいかないのですが、windowsのupdate、シマンテックのupdateのみは、接続可能にしたいです。
そのような事は可能ですか？

No.6 ベストアンサー 回答者： magmagmag 回答日時： 2005/07/21 01:51

とりあえず、ＬＡＮ構成を

１：ＤＨＣＰサーバの通知するＤＮＳサーバのＩＰアドレスを架空
（これで、直接アクセスを完全排除）
２：proxyサーバを立てて、proxyのＤＮＳサーバのＩＰアドレスは実在
（これで、ログを取得するし、proxy経由でしかアクセスできなくなる）

こういう構成に直すべきでしょう。
ちなみに、ＤＮＳサーバのＩＰアドレスを架空とは
パソコンに振られていないＩＰアドレスで、なおかつ
別ネットワークアドレス帯が望ましい。
（ていうか、反応がないＩＰアドレスであればどれでも可なんですが）

ちなみに、この構成でインターネットが見られなくなる
阿保かという人がいますが。
proxyがDNSリクエストとかを担当しますので
Proxyを通してればまったく問題なしです。
web観覧オンリーＬＡＮになってしまいますが。

No.5 回答者： Bonjin 回答日時： 2005/07/20 21:46

特に問題がなければプロキシとファイアウォールを立てて、PCと外部との直接的な通信を避けた方がよいでしょう。

プロキシを経由することでアクセス制限をかけたり、アクセス履歴を取得したりできるので業務に関係ないサイトなどへのアクセスは少なくなると思います。
また、PCが外部に直接アクセスできたりすると、データの漏洩やウィルス感染などが起こりやすくなり、セキュリティ的にも危険です。

専門知識がないのなら、お近くのIT企業へ相談されるのが一番かと思います。

No.4 回答者： xcrOSgS2wY 回答日時： 2005/07/20 20:42

特定の人だけ決めうちで制限をかけるというのは、後々軋轢を生じやすいので、あまり好ましくありません。

もし制限をかけるのであれば、全員に同じように制限をかけるほうがよろしいかと思います。

そういう意味でも、回答No.3の方法がよいと思います。

なお、Windows UpdateやSymantecのLive Updateの接続先については事前に充分調べておきましょう。特にWindows Updateは時々接続先のドメイン名が変わったりするので注意が必要です。

No.3 回答者： mii-japan 回答日時： 2005/07/20 16:10

ルータに,特定のIPアドレスもしくはMACアドレスからの接続を拒否する機能があるかと思います

ルータの説明書をご覧になってください

No.2 回答者： jabba_the_hutt 回答日時： 2005/07/20 14:43

パケットフィルタリング可能なルータなら可能でしょう。

ごく簡単に述べると
１．当該PCからプライベートIPへのパケットを通過
２．当該PCからwindows updateとsymantec live updateに使用するIP＆ポートへのパケットを通過
３．当該PCからグローバルIPへのパケットを破棄
のような感じでしょうか。
LAN内の他のPCを踏み台にされる可能性も否定できませんが。

No.1 回答者： Aquarius172 回答日時： 2005/07/20 14:41

過去に似たような質問がありますので参考にして下さい。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1476212

ただ、windowsのupdateや、シマンテックのupdate等の接続出来るようにすることは可能だと思いますが、それなりの知識を必要とします。

ですので、接続を拒否するPCが1台だけなら、暫定的に各種アップデートを行う時だけ接続できるようにし、それ以外のときは、参考の情報を元に外部に対する全ての接続を拒否するようにした方が良いのではないでしょうか。