現在、宅内のローカルサーバーに接続するためにVPNを立てています。
サーバー管理のため192.168.x.xに接続できるようローカルブリッジを立てています。
そこに、中国へ渡る友人のためのアカウントを作って渡そうと思っているのですが、ローカルへのアクセス権を与えるのも気持ち悪いです。
そこで、ローカルのコンピュータへのアクセス、サーチなどができず、インターネットに出ることのみできるアカウントを作るにはどうすればよいでしょうか。
ローカルへのアクセスを完全に禁止したい
-
- Site Admin
- Posts: 2178
- Joined: Sat Mar 09, 2013 5:37 am
Re: ローカルへのアクセスを完全に禁止したい
アクセスリスト機能を使用して、そのユーザーのセッションからルーター以外のプライベートIPアドレス宛てのパケットを遮断するのが良いと思います。
255.255.255.255 のようなブロードキャストも禁止したほうが良いかもしれませんが、DHCP や ARP を止めてしまうとやや面倒です。
気になるようであれば、DHCP と ARP だけ通して止めても良いかもしれません。
255.255.255.255 のようなブロードキャストも禁止したほうが良いかもしれませんが、DHCP や ARP を止めてしまうとやや面倒です。
気になるようであれば、DHCP と ARP だけ通して止めても良いかもしれません。
-
- Posts: 6
- Joined: Wed Nov 02, 2022 4:20 pm
Re: ローカルへのアクセスを完全に禁止したい
回答いただきありがとうございます。
また、IPv4の設定は分かるのですが、IPv6については勉強不足なためどのようなルールでブロックすればいいかがわかりません。
アクセスされるとまずいIPv6のアドレスの範囲もよろしければ教えていただけますでしょうか。
これについてなのですが、DHCPとARPを通すが他は通さないという設定はどこでやればいいのでしょうか。255.255.255.255 のようなブロードキャストも禁止したほうが良いかもしれませんが、DHCP や ARP を止めてしまうとやや面倒です。
気になるようであれば、DHCP と ARP だけ通して止めても良いかもしれません。
また、IPv4の設定は分かるのですが、IPv6については勉強不足なためどのようなルールでブロックすればいいかがわかりません。
アクセスされるとまずいIPv6のアドレスの範囲もよろしければ教えていただけますでしょうか。
-
- Site Admin
- Posts: 2178
- Joined: Sat Mar 09, 2013 5:37 am
Re: ローカルへのアクセスを完全に禁止したい
すみません、誤解がありました。
ARPについては、IPv4 でも IPv6 でもないので、アクセスリストでは遮断できません。
DHCP については、UDP/67 を通過設定にすれば良いと思います。
IPv6 については、一般に NAT が使用されないのでリンクローカルアドレスを遮断してもグローバル IP アドレスでLAN内の通信も行えてしまいます。
特に必要がないのであれば、セキュリティポリシーですべて遮断してしまうのが安全かと思います。
ARPについては、IPv4 でも IPv6 でもないので、アクセスリストでは遮断できません。
DHCP については、UDP/67 を通過設定にすれば良いと思います。
IPv6 については、一般に NAT が使用されないのでリンクローカルアドレスを遮断してもグローバル IP アドレスでLAN内の通信も行えてしまいます。
特に必要がないのであれば、セキュリティポリシーですべて遮断してしまうのが安全かと思います。
-
- Posts: 6
- Joined: Wed Nov 02, 2022 4:20 pm
Re: ローカルへのアクセスを完全に禁止したい
1年越しに再挑戦しています。
やってみたところ、VPNに接続している端末のIPアドレスもが遮断される状態で困っています。
現在DNS,ARP,ICMPv4は無条件で通過、192.168.0.0/16を破棄するというアクセスリストを設定中です。
この状態では通信できず、VPN経由で接続した端末のipアドレスを通過にすると通信できるようになります。
おそらくルーターから仮想HUBを通って端末に戻るパケットまでもが破棄されているのだろうということはわかるのですが、それを通すルールの作り方がわかりません。お力添えいただければ幸いです。
やってみたところ、VPNに接続している端末のIPアドレスもが遮断される状態で困っています。
現在DNS,ARP,ICMPv4は無条件で通過、192.168.0.0/16を破棄するというアクセスリストを設定中です。
この状態では通信できず、VPN経由で接続した端末のipアドレスを通過にすると通信できるようになります。
おそらくルーターから仮想HUBを通って端末に戻るパケットまでもが破棄されているのだろうということはわかるのですが、それを通すルールの作り方がわかりません。お力添えいただければ幸いです。
-
- Posts: 6
- Joined: Wed Nov 02, 2022 4:20 pm
Re: ローカルへのアクセスを完全に禁止したい
たびたびすみません、自己解決しました。
全てのユーザーが所属するグループを破棄のルールに加えることで、ユーザーに帰ってくるパケットには適用されないようにしました。
全てのユーザーが所属するグループを破棄のルールに加えることで、ユーザーに帰ってくるパケットには適用されないようにしました。