ドメイン指定でのアクセス制限（ルーター）

http://aaa.bbb.ccc/
というサイトがあったとして

LAN内の端末全てが指定したサイト（ドメイン）にアクセス（閲覧）できないようにするにはルータに設定するものなのでしょうか？
ルータで設定するとしたら、市販のルーターの機種によって設定できるできないとかあるのでしょうか？

パケットフィルタリングではなく「ドメイン指定でのアクセス制限」がやりたいんですが・・・

【やりたいこと】
アクセス制限をしたいドメインを設定：bbb.ccc　※制限すれば、そのサブドメインにも適用される。
アクセスできなくなる端末：LAN配下の端末全て

【使用しているルーター】
バッファロー
WHR-HP-G300N
※ドメイン指定によるアクセス制限などの設定項目はないようです。
※パケットフィルタリングという設定項目ならあります。

あと、各々のPCのファイアフォールソフトに設定するとか、そういうのは無しでお願いします。

No.2 ベストアンサー 回答者： yaitoc 回答日時： 2012/04/12 17:39

マニュアルを見た所、WHR-HP-G300Nにはそのような設定に使える機能はなさそうです。

しかし、機種によってはそのような設定が可能なものもあるようです。

BBR-4HGの場合URLフィルターというのがあるようです。
http://buffalo.jp/download/manual/html/bro180/ma …

WR8370Nの場合、DNSルーティングという機能を使えば実現できそうです。
その場合、宛先ドメイン名を「aaa.bbb.ccc」にして、ゲートウェイを「127.0.0.1」にします。
アクセス制限を目的とした機能ではありませんが、結果として「aaa.bbb.ccc」への通信が出来なくなります。

他の機種でも同様の機能をもつものがあると思うので探してみて下さい。

No.1 回答者： asciiz 回答日時： 2012/04/12 17:01

一般的なブロードバンドルーターは、「IP router」ですから、ドメインでの制限はできません。

元々、Webでのアクセスという物が、
(1) ブラウザでhttp://aaa.bbb.ccc/ にアクセスしようとする
(2) PCがDNSに、「aaa.bbb.ccc」のIPを教えてもらう→「11.22.33.44」と解決されたとする
(3) PCが自IP(例: 192.168.0.11)から、相手サーバ(11.22.33.44) へ対して、httpリクエストをする
(4) ルーターは、11.22.33.44 は自分のネットワークではないので、外部へルーティングする
(後略)

このようになっているものですから、ルーターはアクセス先のIPがどのドメインに属するかどうか、知る手段がありません。
パケットが来るたびにDNS逆引きしていたら、Webのアクセス速度は何十倍・何百倍にも遅くなってしまうでしょう。
ですから、ドメインによる制限というのは、通常実装されていません。
やはり、宛先IPによって、パケットフィルタリングを仕掛けるしかないのです。

----

でもまあ、アクセス先のIPがわかれば、ルーターにてそのIP宛パケットを破棄することで(IPフィルタリング)、アクセス制限ができます。

相手サーバのIPを調べるには、nslookup コマンドを使います。

コマンドラインから「nslookup」として起動し、http://の直後から/の前までの部分を入力すると、そのサーバに割当てられているIPが表示されます。
コマンド終了には、「exit」と入力するか、Ctrl+Cキーを押します。

----nslookupコマンドの例

C:\>nslookup
Default Server: google-public-dns-a.google.com
Address: 8.8.8.8

> www.google.com
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: www.l.google.com
Addresses: 173.194.38.116, 173.194.38.112, 173.194.38.113, 173.194.38.114
173.194.38.115
Aliases: www.google.com

> exit

----nslookupコマンドの例ここまで

Addresses: の所に、名前解決されたIPが表示されます。
サーバに複数のIPが割り当たっている場合、上記のように複数のIPアドレスが表示されます。

(フィルタリング設定の例)
・送信元IP 192.168.0.0/24 ※IP部分は、実際のローカルアドレスの頭から3つを指定してください
・宛先IP 173.194.38.116
・プロトコル: 全て
・動作: 無視

このような設定をすると、173.194.38.116 に対して、pingもhttpも全く通らなくなります。
IPが複数あるサーバでは、IPの数だけ、上記のような設定をします。

----

IPでの判断のため、相手がサーバ移行してIPが変わったりすると、DNS解決アドレスも違う物となり、フィルタリングにひっかからなくなります。
めったにないとは思いますが、定期的に確かめた方が良いでしょう。(変わっていたら、修正も。)

もう一つ、注意としては、アクセス制限したいサイトが、共用レンタルサーバを利用している場合があります。
例えば、aaa.bbb.ccc も、ddd.eee.fff も、同じIPアドレス 11.22.33.44 だったとします。
それでaaa.bbb.ccc をブロックしたくて 11.22.33.44 宛を制限してしまうと、関係のないサイト ddd.eee.fff もブロックされてしまうことになります。
IPだけで判断している以上、避けられません。