人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ネットワークに関する質問です。
あるサブネットにおいて、登録したMACアドレス/IPアドレスの組以外での接続は全て拒否したいと思っています。

・どのような技術で可能でしょうか?
・どのようなツール(ソフトウェア/ハードウェア)で可能になりますか?

●質問者: esseesse
●カテゴリ:コンピュータ
✍キーワード:IPアドレス MACアドレス ソフトウェア ネット ネットワーク
○ 状態 :終了
└ 回答数 : 7/7件

▽最新の回答へ

1 ● JULY
●10ポイント

http://www.linux.or.jp/JM/html/net-tools/man8/arp.8.html

Manpage of ARP

ものすごく面倒だけど、タダで出来る方法(^^;

arp で IP アドレスと MAC アドレスの関係を固定で登録します。

但し、再起動すると忘れちゃうので、起動時に再設定する

ような仕組みをこしらえる必要があります。

URL は Linux のものですが、Windows でも同様のことができます。

http://www.linux.or.jp/JM/html/dhcp2/man8/dhcpd.8.html

Manpage of dhcpd

さらに、DHCP サーバも、「この MAC アドレスに対して

この IP アドレスをリースする」という設定を書き、

それ以外の IP アドレスはリースしないようにします。

こうすれば、MAC アドレスと IP アドレスの対応は関係

は固定されますので、後は IP アドレスで制限をかければ、

ほぼ、お望みの制限がかけられると思います。

◎質問者からの返答

最初のURLに関して:

全ての端末にARPを設定して回るんですか?

2つめのURLに関して:

IPアドレス決め打ちで設定された場合には対応できますか?

>IP アドレスで制限をかければ

に関係するのでしょうけど、そっちの詳細も教えていただけるとうれしいです。


2 ● kn1967
●10ポイント

http://www.hatena.ne.jp/

はてな

ダミーです。

サブネットが正しく設定されているのであれば同じLAN内に設置されていても、他のサブネット下のIPアドレスとは直接通信はしませんよ。

ただし、MACアドレスでの判定となるとサブネットとは違う階層での話になりますからサブネット(論理的分離)ではなくルータ(物理的分離)になりますね。

◎質問者からの返答

質問文の書き方が悪かったようで申し訳ありません。

やりたいことはたとえば192.168.0.0/24において、未登録なPCは接続してほしくないのでそれを排除する方法を教えてください、ということです。

申し訳ありませんが、上記の意図の下での再回答をお願いします。


3 ● kensaito
●30ポイント

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=12001&fo...

手軽な手段としては、

・DHCPサーバにあらかじめMACアドレスとIPアドレスを登録しておく。

・スコープの空き部分はリリースしないようにしておく。

とすれば、とりあえずDHCPクライアントはネットワークに接続できなくなります(固定IPなネットワーク機器は接続できる)。

http://www.allied-telesis.co.jp/products/list/switch/9424t_sp/ca...

あとは、

・MACアドレスによるフィルター機能のあるL2スイッチを導入する

とか、

http://www.hitachi-system.co.jp/ong/

不正接続防止ソリューション -日立システム- オープンネット・ガード

・この手のクライアント管理ツールを導入する

という手があると思います。

◎質問者からの返答

あー、なるほど、L2スイッチにフィルタ機能が付いてるものがあるんですね。

それ以外だとどうしてもIPアドレス決め打ちで接続されたときに通知はできても拒否はできないって感じなんですね。。。

なんとかソフトウェアとか追加のハードウェア(サブネットに1台程度のもの)でなんとかならないかと思ったんですが、ちょっと無理そうな気がしてきました。


4 ● phase-d
●20ポイント

http://net.soliton.co.jp/products/soliton/netattest_dps/netattes...

ネットワークの規模や予算なんかによってしまいますが、

そこそこの大きな規模の場合だと、こういったソリューションを使うのが一般的でしょうかね。

http://www.atmarkit.co.jp/fnetwork/tanpatsu/17gbcase/01.html

@IT:導入事例:佐賀大学医学部が10ギガ・イーサを導入した理由

ちょっと関連しそうな導入事例とか。

認証スイッチとかそういったものが必要になってくるので、

どうしてもお値段がかかってしまうものですけどね…。

◎質問者からの返答

こういったゲートウェイのソリューションの場合は確かに通信は出て行かないですけど、ゲートウェイを通らない通信は遮断できないですよね。

L2スイッチでの対応にしても、ハブを置かれたらハブの中で終わる通信に関してはアウトだし。。。

なかなかいい解決はないもんですね。


5 ● sudoh
●5ポイント

http://www.act2.co.jp/product/

act2 website

BlackICE とかのソフトウェア製品を使ってみてはどうでしょうか。

◎質問者からの返答

これってただのファイアウォールではないですかね?

ファイアウォールが必要なわけではないのですが。。。


1-5件表示/7件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ