ルータにぶら下がっているPCの管理

某大学の某研究室で知識が無いながらネットワークの管理をしている（やらされている）ものです。
当方では、大学から与えられるグローバルIPをルータに与え、研究室の全PC（約20台）がルータにぶら下がっています。
先日、大学のネットワークを担当しているSEから、ルータに付与しているグローバルIPから高帯域の接続が続いており、動画サイトへのアクセスが多いので、やめさせて欲しいと言われました。
学生を含め研究室の全員にこの旨を知らせ、当分は大丈夫でしょうが、なにぶん大学という性質上、毎年新しい学生が研究室に入ってきます。研究室では学生が個人のPCを好きに使用するので（最低限ウィルス検出ソフトの導入、windows updateは行わせています）、正直学生が軽い気持ちでこっそり動画サイトやいかがわしいサイトを見るのをいちいちチェックするのは骨が折れますし、20人を毎日チェックしていると本業ができません。学生のPCを使用させなければ良いのですが、残念ながらそれだけのPCを用意する財力が当方にはありませんし、PC抜きで仕事するのは不可能な分野です・・・。
そこで、質問なのですが、ルーターにぶら下がっているPCが何処に接続したかログを取っておけるようなソフトまたはルーターはありませんでしょうか？パケットのログを取るソフトは知識が無いながら使ってみましたが、どのIPがどれくらいのパケットを出しているかしかわかりませんでした。行き先は全てルータになっていました（きちんと見られていないのかもしれません）。実際にyoutubeに接続したなどとわかるソフトは無いものでしょうか？または、設定で動画サイトへのアクセスを禁止してしまえるようなソフトやルータ本体はありますでしょうか？ルータも老朽化しているのでこの機会に買い換えても良いかと思っていますし、数万円とまではいきませんが、多少でしたらソフトにお金をかけても良いと思っています。ご教授よろしくお願いします。

No.7 ベストアンサー 回答者： kusa_mochi 回答日時： 2008/08/28 19:59

自分の今使っている古いルーター(planex製のb規格の無線LANしかないタイプ)でもその機能はあるので、今のルーターなら必ず有ると思ったが、そうでもないみたいだな。

特にBaffaloの機種は。
(初心者が使わない機能を切り捨てているのか、マニュアルページに載せていないだけなのかは分からないが)

簡単に探してみた所、

　http://corega.jp/prod/wlbargnh/download.htm

辺りだとその機能を持っているようだ。
(探すのであれば、Planexかcorega辺りの高級機種を探そう)

上記機種のマニュアルは、

　http://corega.jp/prod/wlbargnh/pdf/wlbargnh_deta …

だが、

　第4章　設定画面について＞　4.6　セキュリティ設定

を見れば、「アクセス制限」，「コンテンツフィルタ」，「URLフィルタ」，「スケジュール」の至れり尽くせりの機能が付いている。

また、

　4.9　ステータス＞　4.9.1　ログ表示

を見ると「システムログ」の欄に『本製品のアクセス履歴などを表示します』と書かれているので、アクセスしたURL等が分かるのだと思う。
planex側の機種もシステムログで恐らくアクセス履歴が出ていると思うのだが、coregaのようにハッキリとした記述が無い為サンプルとして挙げなかった。
(正確なことを知りたければ、coregaやplanexのサポートに問い合わせて欲しい)

この回答へのお礼

kusa_mochiさん

ありがとうございます。
Coregaに確認してからお礼を書こうと思っていたのですが、Coregaのサポートに電話が全然つながりません・・・
しかし、マニュアルを見る限り、おっしゃるとおりの機能がありそうなので、この機種を購入する方向で検討します。
ありがとうございます。

お礼日時：2008/09/02 12:00

No.8 回答者： celtis 回答日時： 2008/08/28 21:19

バッファローの廉価版ルータに、DD-WRTというオープンソースのファームウェアを導入すると、トラフィックシェーピングなどの業務用にしかないようなQoS機能が使えるようになりますね。

http://gigazine.net/index.php?/news/comments/200 …
http://www.dd-wrt.com/wiki/index.php/Quality_of_ …
http://itpro.nikkeibp.co.jp/article/COLUMN/20070 …

導入や設定が面倒なことと、負荷がかかったときに安定動作するかどうかが微妙なところですが、うまくいけば効果的な帯域制限が実現できると思います。

この回答へのお礼

celtisさん
ありがとうございます。
お礼が遅れて申し訳ありません。
教えていただいたファームウェアは確かに便利そうですが、私の知識ではいささか不安がります。時間があるときにチャレンジしてみたいと思いますが、今はちょっと無理そうなので市販のものでなんとかしたいと考えております。

お礼日時：2008/09/02 12:02

No.6 回答者： celtis 回答日時： 2008/08/26 22:19

少々乱暴なやり方になりますが、学生向けのマシンとルータの間に古い10Base-Tハブを挟みましょう。

比較的安価で効果的なボトルネックになります。

LANケーブルやハブは鍵のかかる机や棚に入れておいて、簡単に抜き差しできないようにすることも必要です。

この回答へのお礼

celtisさん
ありがとうございます。
確かに効果的ですが、なかなか乱暴ですね・・・
考慮させていただきます。
できる限り、学生の“勉学に使う”ネットに支障をきたさない範囲でやりたいと思うのは甘過ぎなんでしょうか・・・

お礼日時：2008/08/28 10:33

No.5 回答者： kusa_mochi 回答日時： 2008/08/26 21:23

そんな大層なことをしなくとも、そのルーター(何処のメーカーの何という機種かは知りませんが)にインターネットアクセスログを取ったり、URLフィルタを掛ける機能は無いのでしょうか？

最近の家庭用ブロードバンドルーターなら、業務用のルーターほど本格的な機能ではないにしても

　・アクセスログ取得
　・URLフィルタ

の機能は持っている可能性は高いと思います。
(業務用なら間違いなく持っていると思う)
お使いのルーターの説明書を確認されましたか？

URLフィルタの機能がルーター側にあるなら、そこに動画サイトのIPアドレス又はドメイン名を入れればそれで解決するような気がします。

この回答へのお礼

kusa_mochiさん

おっしゃるとおりだと思います。ただ、
>何処のメーカーの何という機種かは知りませんが
と書かれていますとおり、私もそのようなルータを見つけることができませんでした。もちろん今使用中のルータにそのような機能がついていないことは、メーカーに確認済みです。リーズナブルな値段の家庭用でそのようなルータがあるとベストなのですが。

お礼日時：2008/08/28 10:30

No.4 回答者： superside0 回答日時： 2008/08/26 17:57

> 2重にプロキシを通すと言うことが可能なのでしょうか・・・？

可能です。下流のProxyサーバーのconfファイルに、親ProxyのIPアドレス（またはホスト名）を記述することで、多段Proxyが構築できます。
難点としては、学生のPCのブラウザのProxy設定を、下流のProxyサーバーのアドレスに書き換える必要があります。
（LAN内にWPADなどのProxyサーバーを自動設定する機能がすでに稼働しているなら、その設定をかえるだけですみますが）

というか、すでにProxyが上流にあるなら、そこのACL（アクセスコントロールリスト）で
利用制限してもらえばいいんじゃないですか？

それさえ受付てくれないのなら、SEさんも積極的に強制制限しようとは考えていなくて、
いまのところ警告レベルにしておき、次年度も利用ガイダンスを配布するのみ
という程度で考えているのではないでしょうか？

この回答へのお礼

superside0さん

ありがとうございます。2重にプロキシを通すと言うことができるんですね。
上流のプロキシで制限してもらうというのは目から鱗でした。
一度交渉してみたいと思います。

お礼日時：2008/08/28 10:28

No.3 回答者： lockin0220 回答日時： 2008/08/26 11:00

TLRGPRさんこんにちは。

ご希望とするソフトウェア、ハードウェア（アプライアンス）製品はたくさんあります。
現状を考えるとソフトウェア製品は新入生が来るたびインストールという手間が発生します。面倒ですよね？

私としては大学ネットワーク全体の事も考えて、インターネットの出入口にハードウェアアプライアンス製品を設置したほうが、手間もかなり省けると思いますよ。
例えばYouTubeへのアクセスを一度拒否に設定すれば全ユーザー拒否できるわけですから。
導入直前利用者へ「WEBアクセス制限しますよ」と連絡すればいいだけなので、ユーザーもアクセスできなければ「仕方ない」と諦めるでしょう。
ただ「学習上どうしてもこのサイトへはアクセスしたい」という場合は「アクセス許可申請」という形で申請させ、許可してあげればよいかと思います。
ネットワーク担当SEさんへこうゆう提案をしてもよいかと思います。

またGoogleで「Webフィルタリング アプライアンス」と検索すると結構Hitしますので参考にしてみてください

この回答へのお礼

lockin0220さん
ありがとうございます。
Webフィルタリングアプライアンスはまさに私が設置したいと思っているものです。
ただ、ちょっとGoogleで調べた限りかなり高額ですね・・・
さすがに50万、100万は厳しいですね。
先にも書いていますが私の大学はあらたな決めごとを作るのが嫌いなので、設置を進言したところでとりあってくれないでしょうし・・・
各学生のPCにwebフィルタリングソフトを入れたところで自分でソフトを切って接続してしまうでしょうし・・・
なかなかうまくはいかないものですね。

お礼日時：2008/08/26 17:33

No.2 回答者： superside0 回答日時： 2008/08/25 16:37

本来はモラルの部分だとは思いますが、強制的に制限するとなると、

ルーターの内部から外部への80番ポートへの接続ができないように
ルーターのフィルター設定を行ったうえで、
LAN内にProxyサーバー(squid等）を立ち上げ(Winでもlinuxでも）、このProxyサーバー経由でないとWebアクセスできないようにしたうえで、

・Proxyサーバーのログをwebalizer等で集計して、トラフィックが多いユーザー(ログ中のアクセス元のIPアドレスから分かる）に警告する
↓
警告を聞いてくれないときは、ProxyサーバーのACLに、アクセスさせたくないサイトのドメインを手動登録する
（Youtubeとかyahoo動画とかGyaoとか・・・)
↓
どれが良い悪いでもめたりとか監視が面倒なら、トラフィックが大きいとか違法・有害サイトのブラックリストをProxyのACLに自動登録させる仕組みまでやってしまう。

というのは、どうでしょう。

この回答へのお礼

superside0さん
ありがとうございます。
ほんとにモラルの問題だと思います。しかし、残念なことに学生のモラルは・・・
教えていただいた方法は、理屈的にはわかるのですが、私の知識でプロキシサーバーを立ち上げるのが可能かどうか不安があります。
また、既に大学のプロキシが存在しており、それを通さないとwebが見られないようになっています。2重にプロキシを通すと言うことが可能なのでしょうか・・・？

お礼日時：2008/08/26 17:26

No.1 回答者： yamato1957 回答日時： 2008/08/25 16:08

http://www.wackyfactory.net/domvw/
上記のような監視ソフトで可能ですが、貴方一人で
実施されるのですか？。大変ですよ。

本来は大学のネットワークなんですから、大学当局から
全体を見渡した対策を出すべきだと思いますよ。

＞やめさせて欲しいと言われました。
ＳＥとの個人レベルの話ではないと思いますよ。
大学から個人ＰＣ接続時の注意点、禁止事項を出すべきです。

この回答へのお礼

yamato1957さん
ありがとうございます。
おっしゃるとおりだと思います。しかしながら大学側は研究室の問題として関知しないというスタンスをとっています。うちの大学はあらたな決めごとやらなにやらを作るのを極端に嫌うのです。。。
そんなわけで私としては何かアクションを起こさねばならないという状況です。

お礼日時：2008/08/26 17:23