あなたの映画力を試せる!POPLETA映画検定(無料) >>

特定のパソコンの特定のユーザーアカウントから、特定のIPへ接続させなくする方法は有りますでしょうか。

会社にゲスト用のパソコンを設置するのですが、NAS等、特定の固定IPへは接続させたくはありません。
NAS等にはNASの機能によるアクセス制限がかけられていますので、NAS内のファイルにはアクセスできませんが、そもそもNASの存在を知らせたくないですし、IE等で固定IPを打ちますとNASの管理画面は表示されてしまいます。
偶々でもそういう事態は避けたいと考えています。

Hostsファイルに固定IP→会社ホームページというような記述をしようと思いましたが、Hostsファイルはユーザーアカウントを特定しての設定ができないと思いますので、それではそのパソコンの管理者による管理運用が難しくなります。
グループポリシーの設定を調べていますが、ネット接続全般に影響が出るようですので、それも要望に沿いません。

このQ&Aに関連する最新のQ&A

A 回答 (6件)

>特定のIPへ接続させたくない


Pingコマンドで正しくネットワークへ繋がっているか確かめる
http://michisugara.jp/archives/2014/ping.html
↑↑此れは如何でしょう。
    • good
    • 0

いくらクライアント上で変更しても、情報システム部では何をしたかすぐにわかると思います。

まず、上司に相談し、上司からしかるべき部署に提案してもらうのがよろしいかと思います。

失礼しました。
    • good
    • 1

ちょっと気になって調べたのですが、ファイヤーウォールの設定でできそうな。



下記ページを参考にしてみてください。

下記ページですと、送信の規制のみブロックしていますが、受信の規制も同じ要領で規制すればIE等で固定IPを打ってもNASの管理画面は表示されません。

私も、早速これを適用してみようと思います。

参考URL:http://d.hatena.ne.jp/fai_fx/20100604/1275577327
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

お教えいただいたファイアーウォールの設定でアクセス制限できました。
しかし、当該パソコンには会社支給のセキュリティソフトが導入されていて、PCを再起動するとファイアーウォールの設定は残っているものの、無効になってしまいました。(Windows 7からみて推奨設定ではない状態)

会社の専門部署に確認したところ、個別のPCでのファイアーウォールの設定変更は許可しないし、専門部署による設定変更も行わないということでした。

専門部署の設定したセキュリティよりも通信を絞ろうとしているのですが、残念です。

お礼日時:2014/03/11 20:03

基本的にできないと思っていますが思いつきをいくつか書いてみます


(いずれも実現可能か未確認)

・別途NICを増設して ユーザ毎に NIC使い分ける
 さらにそのLANは通常NICとは別LANに設置する
  (複数NICでも 同一LAN上になってたら意味なし)

・スクリプトなどでユーザログイン情報に合わせてHOSTSファイル書き換える
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

NICの増設は難しいので見送りたいと思います。
Hostaファイルの書き換えですが、結局要望に適いませんでした。
特定のパソコンと見せたくないNAS等は同じセグメントに存在するのですが、NASなどのIPを設定しても効果ありませんでした。
外部のサイトなどは制限できたので、私の記述ミスではないと思います。

お礼日時:2014/03/11 19:59

>特定のIPへ接続させたくない


http://zen-cart.jp/bbs/viewtopic.php?f=5&t=3958

http://www.futomi.com/lecture/htaccess/htpasswd. …
↑↑此れなんか利用できませんか。
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

質問の環境説明が足りませんでしたが、NASはBuffaloのTeraStation等で、Windowsサーバー系ではありません。Linux系のシステムではありますが、たとえばLinuxのウェブサーバーのように、記述ファイルを置けるようなものではありません。
.htaccessはファイルサーバー側に記述ファイルを置き実現するものだと思いましたが、今回の件でも使えるのでしょうか。調べてみます。

お礼日時:2014/03/11 14:26

ルータのIPフィルタリングを使います。



1番目フィルタ
発信元 IP 排除IP
宛先 IP any
プロトコル any
動作 deny

2番目フィルタ
発信元 IP any
宛先 IP any
プロトコル any
動作 permit

通常は、LAN側インターフェースで適用しますが、機種によりできないものもあるため、その場合は、他の設定の前に1番目フィルタを入れます。
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

当該パソコンの上流にちょうどスイッチが設置してあり、ご説明いただいた機能よりもとてもシンプルですが、IPフィルタリングに該当する機能がありました。
もしくはルーターの設置を検討したいと思います。

お礼日時:2014/03/11 15:39

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Qホワイトリストにある相手だけネット接続する設定方法

業務で使うPCは、一般のPCと必ずしも同じようにネット接続できる必要は無いと思います。
ということは、たとえば、
 社内のメールサーバー、
 ファイルサーバー、
 プリンタ
の3箇所とだけ接続できるような設定が可能なら、情報漏えいや遠隔操作、犯罪の踏み台として利用されてしまうという危険性がかなり低減すると思います。
WinXP、Win7で、「ホワイトリストにあるIPアドレスのパケットだけ通し、それ以外のパケットは廃棄するような設定」方法、ないのでしょうか?

自動アップデートや時刻あわせ、ネット検索など、いろいろと便利な機能はすべてあきらめることになりますが、これらの危険性を回避するために「オフラインでPCを利用する」ことを考えると、プリンタなどが使えるだけでも、うれしいと思うのですが、いかがでしょう?

Aベストアンサー

> でも私の質問は、ルータの設定ではなく、
> WinXP、Win7で、「ホワイトリストにあるIPアドレスのパケットだけ通し、それ以外のパケットは廃棄するような設定」方法です。

PC側で制御したいのでしたらパケットフィルターソフトを導入されてはいかがでしょう。

たとえば以下のようなものとかだと出来そうな感じですが

http://www.st.rim.or.jp/~shio/nwworld/pktfilter/

Qコマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法

ipアドレスは分かっていますがコンピュータ名が分かりません。リモート接続ソフトなどは使えないので、それでコンピュータ名を調べることはできません。
コマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法を教えてください!

Aベストアンサー

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理しており、対象IPについても管理者の管理下にある場合……以下2つのいずれかの方法で検索できます。

  nslookup <IP address>

または

  nslookup -q=ptr <reverse ip>.in-addr.arpa.
  ex) 192.168.12.1 のIPを調べたい場合、以下のように入力する
  nslookup -q=ptr 1.12.168.192.in-addr.arpa.

  (DNSサーバで逆引きが設定されていないと、正しく検索できない場合があります)

パターン3:
上記以外の場合

外部から名前解決できないので、調べようがありません。または、調べてもそれが正しいホスト名である保証がありません。
そのIPの端末自体に設定されているホスト名を直接調べるしかありませんが、それには実際にそのIPの端末を操作して調べるしかありません。
つまり、No.2さんの回答となるのですが、
IPを使用しているのがWindows PCやUnixサーバなどである保証はないので、確認するコマンドはその端末の種類(OS)によって異なります。

なお、tracert (traceroute)を使用する、という回答がありますが、これはパターン1またはパターン2のいずれかまたは両方を満たしていないと表示されませんので、厳密には正しい答えとはいえません。
(たいていの場合、"tracert <IP address>" や "ping <IP address>"で用が足りてしまうことも多いので、必ずしも間違いではないのですが)

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理して...続きを読む

Q【Windows 2008】 netshについて

Windows server 2008 でnetshコマンドを使用してフィルタリング設定をしようとしているのですが、
XP、2000では
「netsh routing ip add filter "ローカル エリア接続" input 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TCP 0 [xx] 」
で[xx]ポートを拒否(許可)できたのですが、 2008 では同様のコマンドで設定ができませんでした。

誰か 2008 でのフィルタリング設定方法を教えてください

Aベストアンサー

http://search.yahoo.co.jp/search?b=1&n=10&ei=UTF-8&fr=ie8sc&p=%22Windows7%22+%2B+%22netsh+routing+ip+add+filter%22

http://search.yahoo.co.jp/search?p=%22Windows2008%22+%2B+%22netsh+routing+ip+add+filter%22&aq=-1&oq=&ei=UTF-8&fr=ie8sc&n=10&x=wrt

2000=>2000
XP=>2003
7=>2008

と言うことで・・・

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QHTMLからフォルダを開きたい

いつも大変お世話になります<(_ _)>

Webサーバー上にあるWebページ(HTML)の中に、ローカルPCのフォルダを開くリンクを付けたいのですが、
<a href="file://c:\windows">OPEN</a>
としても、何も反応しません。

いろいろ調べたのですが、上記の方法しか見あたりません。

なお、ブラウザのアドレス欄に file://c:\windows と入力すると、フォルダの内容が表示されます。
※Firefoxだと、ファイルの一覧になりますが・・・

何か環境によって挙動が異なるのでしょうか?
それとも、セキュリティ上の観点から最近じゃ出来なくなっているのでしょうか?

是非ともお助け下さい。宜しくお願い致します。

Aベストアンサー

file:///C:/windows/
/は三つでは・・・
 IEの場合はエクスプローラ(ファイルマネージャ)が開くような・・・
 IEはファイルマネージャーと一体のブラウザなので・・・

★実は、ローカルサーバーが必要です。
 apacheでも何でも良いので、WEBデータの入っているフォルダーを
<VIRTUALHOST 127.0.0.1>
C:\Document and settings\my document\web
 とかに指定して、Windowsのhostsファイルで、適当なサーバー名を指定しておきます。
myLocalhost 127.0.0.1
とか・・・

 そうすると
http://myLoclahost/
 で開けます。

 

QEXCEL VBA で現在開いているブックのファイル名を取得する方法

EXCEL2003 VBAで業務を簡素化するために、現在開いているブックのファイル名を取得する方法が分かりません。
作業手順をマクロを使って処理していますが、オリジナルのワークブックをファイル名を変えて保存し、以後、このワークブックを読み込んで使用しています。
このときのVBAは、オリジナルのファイル名を使っているため、ファイル名を変更するとエラーになり、以後の業務に使用できません。
常にファイル名を取得出来るVBAをどなたか、教えて下さい。

Aベストアンサー

>現在開いているブックのファイル名
 ちょっと曖昧な表現かなぁという気もいたしますが、VBAが書いてあるブックのブック名は
ThisWorkbook.Name
で、現在 "アクティブにして" 操作対象になっているブックの名前は
ActiveWorkbook.Name
ですね。

 しかし、
>VBAは、オリジナルのファイル名を使っているため、ファイル名を変更するとエラーになり
というような文脈からすると、
ThisWorkbook.Name
の方ですかね。

Q社内PCにてネットワークの見れないPCがある

どうも。 お付き合いできる方が居られれば、知恵をお貸しください。
社内PCでネットワークが見れないPCが何台かあります。
しかも、そのPCごとに内容は違いAのPCはBが見れない…しかし、逆からは見れるとか。
CのPCは、Dが見れない…Cも見れないとか。
セキュリティソフトのファイヤーウォールは切ったり、Win内のファイヤーウォールは切ってもダメです。
で、中には『PCを検索』でIPで探して見ると共有が見れたりするPCもあります。
更には、Adminだとダメでもうひとつアカウント作ってそれでやると見れるとか…(・д・;)
もはや、意味が分かりません。
OSが違えば(XP→98:98→2000)また違う設定が要るんでしょうが、XP→XPでも見れないやつがあるのが解せません。
ちなみに、PINGは飛びます。
ネット、メールも出来ます。
が、特定のPCが見れないんです。
何か原因が考えられるのであれば、是非知恵をお貸しください。
長文、申し訳ありませんでした。

Aベストアンサー

これは、マスタブラウザになるべきマシンが固定していない環境で起こる現象です。
下のURLのNo.2net_lander(私)の回答を参考にしてください。
環境は、少し異なると思いますので、適宜読み替えてください。

参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=1127123


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング