ネットワーク内でアクセスを分離するにはどうすればよいですか?

tag-icon tag-icon networking privacy limited-access
ネットワーク内でアクセスを分離するにはどうすればよいですか?

ルーター内で、異なる有線コンピュータへのアクセスを分離する「ルール」を見つけるのに苦労しています。

建物には光ファイバーが引き込まれており、イーサネット ケーブル経由で Zyxel ルーターに接続されています。ここから 8 ポート スイッチにイーサネットが接続され、4 台のコンピューターと 2 台のプリンターが接続され、接続されたすべてのシステムに完全に共有アクセスできるようになります。

私が望んでいるのは、最大 5 台の他のデバイスを有線接続できる 2 台目のルーター/スイッチを設置することです。問題は、これらの他のデバイスがネットワーク上の元のコンピューターにアクセスしたり、2 台のプリンターを使用したりできないようにしたいことです。

答え1

必要なのはファイアウォールです。ファイアウォールは実際には機能です。ルーターにファイアウォール機能がある場合もありますが、その場合、ルーターのモデルを明記し、ルーターのマニュアルを確認して、可能かどうかを確認してください。可能でない場合、または不可能な場合は、ファイアウォール アプライアンスまたはその機能を備えたルーターを入手してください。ファイアウォールを使用すると、この範囲の IP アドレスへの着信接続や発信接続をブロックするなどのルールを設定できます。

また、特定の推奨事項はここでは人気がないか、人気があるが受け入れられず、「ショッピング」と呼ばれます。ただし、チャットで人々が何を使用しているか、または提案しているかを尋ねてみることはできます。

答え2

この問題を解決する方法はいくつかある。その一つは

インターネット | Xyxel | +--- 新しいネットワーク PC1 | +--- 新しいネットワーク PC 2.5 ... (ポートを増やすにはスイッチが必要な場合があります) | +------ (wan) イーサネット ルーター | 8 ポート スイッチ | +----- (lan) プリンター | +----- (lan) プリンター 2 | +----- (lan) 既存の PC 1 ...

これにより、既存のネットワークから新しいネットワークのデバイスにアクセスできるようになりますが、その逆はできません (イーサネット ルータが NAT を実行するように構成されている場合)。イーサネット ルータの LAN IP アドレスが、Xyxel によって配布される IP アドレスとは異なるサブネットにあることを確認する必要があります (Xyxel が 192.168.xx を配布する場合、イーサネット ルータを 172.16.xx を使用するように設定できます)。「二重 NAT」には注意が必要な小さな問題があり、一部の不明瞭なプロトコルで問題が発生する可能性があります。

「より良い」ソリューションには 2 つのイーサネット ルーターが必要であり、次のようになります。

                  Internet
                    |
                  XYXEL Router
                    +      +
       -------------+      +------------------------
       |                                           |
 Ethernet Router 1                             Ethernet Router 2
 |                                              |
 |---  Printer 1                                |--- New PC1
 |---  Printer 2                                |--- New PC2
 |---  (rest of old network)                    |--- New PC3...

イーサネット ルーターで使用可能なポートの数を拡張するには、スイッチが 1 つまたは 2 つ必要になる場合があります。イーサネット ルーター 1 とイーサネット ルーター 2 の間にケーブルを接続しないように注意してください。

この 2 番目のソリューションは、ダブル NAT を必要とせず、より安全 (つまり、ゾーンが分離されている) であるため、最初のソリューションよりも「優れた」ソリューションです。イーサネット ルータ 1 と (およびイーサネット ルータ 2) の LAN インターフェイスの IP 範囲は、Zyxel の LAN インターフェイスとは異なることに注意する必要があります。理想的には、3 つの異なるネットワークを使用します [ただし、厳密に言えば、イーサネット ルータ 1 と 2 の LAN インターフェイスで同じ範囲を使用できます]。Zyxel の場合は 192.168.1.x ネットマスク 255.255.255.0、イーサネット ルータ 1 の場合は 10.1.1.x ネットマスク 255.255.255.0、イーサネット ルータ 2 の場合は 10.1.2.x ネットマスク 255.255.255.0 をお勧めします。

いずれの場合も、「ゲートウェイ」(またはルーターの LAN インターフェース)は XXX1 または XXX254 (たとえば 192.168.1.1 または 10.1.2.254)である必要があります。

イーサネット ルーターは非常に安価なデバイスなので、50 ドル程度で購入できると思います。

関連情報