ネットワーク内の特定PCにアクセス制限をかける方法

小規模事務所のネットワーク設定で困っています。ネットワーク管理者と言える人が誰もいない中、多少他のメンバーよりも分かるだろうというだけで作業を依頼されています。現状、WinXP proのPCが15台、ネットワークプリンタが3台、ネットワークHDDが1台という環境で、1台のリナックス機を経由してインターネット接続しています。とりあえず、ここまではできています。ただ、このうち事務所スタッフ用のPC13台には制限はいらないのですが、2台のゲスト用PCだけには（１）ネットワーク内の他のPC内の共有フォルダへのアクセス制限、（２）ネットワークHDDへのアクセス制限をかけつつ、（３）インターネットとネットワークプリンタへの接続だけは提供する、という設定をしたいと考えています。あれこれインターネット検索してみましたが、どうもよく分からないので、ご教示いただければ幸いです。アドバイスをいただくにあたって、もしも状況説明が不足しているようでしたら、どんな情報が必要なのか教えていただければすぐに追加いたします。よろしくお願いします。

No.4 ベストアンサー 回答者： Donotrely 回答日時： 2007/12/20 20:17

リナックス機はゲートウェイなんでしょうか？

それにより多少事情は変わりますが、市販のルーターでできるかもしれません。

もう売っていませんが、私の愛用しているBA8000proではできそうです。

条件は
・VLANが2グループ切れること
・VLAN間は通常分離されているが、
特定のIPに対してルーティングできること。

　　　　　　　ルータ
　　　　VLAN0　　　　VLAN1
　　　　　　｜　　　　　｜
スタッフ用PC　　　　ゲスト用PC
ネットワークHDD
ネットワークプリンタ


これでゲスト用PCからネットワークプリンタだけにルーティングします。

参考：http://www.ntt-me.co.jp/bar/ftp/ba8kp_g_pr.pdf

この回答への補足

回答をいただき、ありがとうございました。唯一のリナックス機は、ゲートウェイと呼ぶのだと思います（たぶん）。これがプロバイダと事務所内LANとの接点になっていて、このリナックス機の電源が落ちているときはインターネットにつながりません。

説明いただいた内容から、恥ずかしながら初めてVLANという言葉を知りました。この機能に対応したルーターが使えるのであれば、すっきりした構成になりそうです。ただ、今回は急場しのぎの対策のため、新たに使える予算はありません。そこが問題です。なんとか、経費を一切かけずに最低限の目的を達したいのです。A No.3の補足説明欄にも書かせていただいたのですが、ネットワークプリンタへの接続許可は考えなくても良いということになりましたので、その前提でのお知恵を拝借できればと思います。

ただ、来年度の途中で事務所移転の可能性があり、実現するのであれば現在のたこ足配線を何とか解消しつつ、すっきりした形のネットワーク構築をしたいと考えています。そのためには必要機材購入の予算要求もしなければなりませんので、今回教えていただいたVLANとその対応ルーターについてさらに調べてみようと思います。ありがとうございました。

補足日時：2007/12/22 17:46

No.3 回答者： outerlimit 回答日時： 2007/12/20 10:05

共有フォルダの存在も秘匿することはできないことではありません

ただ、共有プリンタは使用させたいので　少し面倒です

共有プリンタを使用させなくても良いのならば

＊ワークグループを分ければ、一応は可能です（少し操作すればそのワークグループの存在は判明します）

＊確実に行うならば　ルータを入れ、ゲストに使用させるPC以外を新ルータの配下にしてしまうことです　下図
（ネットワークプリンタの機能によっては、全PCで共有も可能です）

インターネット
　　｜
　ルータ
　　｜
既設ネットワーク
　　｜－－－ゲスト用PC
　　｜（－－－ネットワークプリンタ、可能かどうかはそのプリンタの機能)）
新ルータ
　　｜
社内使用ネットワーク（ネットワークプリンタ、各PC、ネットワークHDD）

既設ネットワークと社内使用ネットワークは別サブネットにして、新ルータでもIPアドレス変換を行います
そのようにすると　
社内使用ネットワークのPCからは、既設ネットワークへもインターネットへも接続できますが
既設ネットワーク上のPCからは、社内使用ネットワークは見えませんし、接続できません（インターネット接続と既設ネットワークのネットワークプリンタの使用は可能）

このような設定を行うには、ネットワークに関する勉強が必要です

この回答への補足

再度の説明、大変ありがとうございます。職場での状況確認や、利用可能なリソースなどを確認しているうちに遅くなってしまい、申し訳ありませんでした。説明していただいた方法によって理想的な状態を作り出せるというのは魅力的なのですが、どうも予算とPCの配置の問題で引っかかりそうな気がしています。人数の少ない職場ではありますが、部屋が複数に分かれていて、4台のハブでたこ足配線状態になっています。また、ルーターを買う予算は無いのですが、あったとしてもゲスト用PCがそれぞれスタッフ用PCと入り乱れて違う部屋に配置してあるので、ご教示いただいたようなきれいなつながりを作れそうにないのです。

ただ、状況が新しく変化して職場の了解を得られたのは、古いプリンタをゲスト用PCにUSB接続して使っても構わないということです。これであれば、ゲスト用PCをネットワークプリンタにつなぐ必要はなくなりますので、残っているのはゲスト用PCからネットワークHDDへのアクセス制限（できれば秘匿）と、インターネット接続の提供ということになります。そこで、既に書いていただいている『共有プリンタを使用させなくても良いのならば　＊ワークグループを分ければ、一応は可能です（少し操作すればそのワークグループの存在は判明します）』ということについて教えていただけないでしょうか？どうかよろしくお願いいたします。

補足日時：2007/12/22 17:41

No.2 回答者： violet430 回答日時： 2007/12/20 05:56

こちらあたりでどうですか

http://121ware.com/qasearch/1007/app/nec.jsp?007 …

この回答への補足

ありがとうございます。分かりやすい説明のページでした。この方法でうまく制限がかけられるか、まずは実際に試してみたいと思います。ただ、No.1の方からいただいたアドバイスと同じなのですが、そもそも部外者用のPCからは、ネットワークHDDの存在すら見えないような、そんな設定というのはできないものでしょうか？もちろん、アクセスを制限するということこそが解決したい課題であって、共有フォルダやネットワークHDDの存在すら見せないようにするということは、もしもそこまでできるならありがたいというプラスαな希望ですから、無理なら諦めるのですが・・・。いかがでしょうか？

補足日時：2007/12/20 06:45

No.1 回答者： outerlimit 回答日時： 2007/12/20 05:45

逆に、アクセスを規制したい共有フォルダやネットワークHDDにアクセス制限すればよろしいのでは

アクセス制限は　共有フォルダを持つPCやネットワークHDDの機能によりますが、パスワード設定くらいはできるはずです
さほど　セキュリティレベルは高く無いですが、簡単にはアクセスできません

この回答への補足

早速のアドバイス、ありがとうございます。なるほど、逆転の発想ですね。まずは、出勤したらネットワークHDDのパスワード設定についてマニュアルを確認してみることにします。ただ、理想的には「見えるけど入れない」共有フォルダやネットワークHDDを見せてしまうよりは、部外者には最初から「見せない」ようにできればと思うのですが、そういうことは難しいでしょうか？もちろん、可能だとしてもかなりの知識が必要で敷居が高いということであれば、アドバイスいただいたような方法を選ばざるを得ないとは思いますが。

補足日時：2007/12/20 06:27