none
ファイヤーウォールでファイル共有を塞ぎたい RRS feed

  • 質問

  • お世話になってます。

    Windows 2008 server にWiFiのUSB子機を取り付け、無線LANアクセスポイントに

    することを考えています。サーバーには有線LANのNICもついており、これによって

    無線LAN → 社内LAN → インターネット

    という接続を実現することが出来ました。しかし、現在の設定だと無線LANに接続されたノートPC

    等から社内LANのファイル共有フォルダが見えてしまいます。2008 Serverのファイヤーウォールを設定して

    無線LAN側からのファイル共有を出来なくしたいのですが、どのようにすればいいでしょうか。

    無線LAN子機はPlanex製GW-USHyper300

    http://www.planex.co.jp/product/wireless/gw-ushyper300/

    2008 Serverのネットワーク設定は

    有線LAN 192.168.1.xxx

    無線LAN 192.168.100.xxx (Planex初期設定)

    の様になっています。

    ファイヤーウォールは2008 Serverのデフォルトのファイヤーウォールです。

    よろしくお願いします。

    • 移動 Robin_Ren 2012年10月3日 17:54 merge forum (移動元:Windows Server 2008 R2 全般)
    2011年8月19日 5:49

すべての返信

  • アクセスメディアからの制限は難しいのはないでしょうか?

    私が思い浮かぶのは、ユーザーのアクセス権の制御であれば実現可能だと思われます。

    アクセス・ベースの列挙機能を利用する
    http://www.atmarkit.co.jp/fwin2k/win2ktips/1116abe2008/abe2008.html

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年8月22日 0:07
    モデレータ
  • おせわになります。

    >アクセスメディアからの制限は難しいのはないでしょうか?

    Linuxだとポート塞いでしまえばそれまでですし、ポートに対してNICの設定(eth0とか)の設定ができるのですが、

    WindowsサーバーのファイヤーウォールはLinuxとはちょっとイメージが違うということでしょうか。

    提示いただいたアクセスベースの列挙では社内LANに接続されてるPC全てに設定しなければならないような

    イメージで、ちょっとしんどいです。

     

    Windowsデフォルトにはこだわりませんので、サードパーティのファイヤーウォールで無線LANからのアクセスを制御できる

    製品とかってないでしょうか。

     

    よろしくお願いします。

    2011年8月22日 1:08
  • どうしてもFWでやりたいならば、FWのプロファイルによる制御を利用する方法があります。

    ドメイン、プライベート、パブリックとありますので通常使用するプロファイルをプライベートorドメインあたりにして、そちらではファイル共有を許可し、WIFIでの接続をパブリックとすればできるのではないでしょうか?

    しかし、これはクライアント側の設定でWIFI接続をパブリックとしなくていけません。

    >提示いただいたアクセスベースの列挙では社内LANに接続されてるPC全てに設定しなければならないような

    これは共有フォルダの設定なのでクライアントの設定ではありませんね。これはアクセス権がないホルダは表示しないというものです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年8月22日 1:31
    モデレータ
  • >ドメイン、プライベート、パブリックとありますので通常使用するプロファイルをプライベートorドメインあたりにして、そちらではファイル共有を許可し、WIFIでの接続をパブリックとすればできるのではないでしょうか?

    常用する有線LANをプライベート、WiFiをパブリックとし、プライベートからしか接続しないようにしましたが、接続出来てしまいました。

    他にもリモートアドレスを社内LANのものに限定したり、詳細設定でNICを有線で使ってるものに限定してみたりしたのですが、

    なぜか無線から接続出来てしまいます。

    残念ながら、今回はお手上げという結末になりそうです。

    いろいろ教えていただいたのに申し訳ありません。また何かありましたらよろしくお願いします。

    2011年8月22日 8:17
  • こんにちは、フォーラムオペレーターの三沢健二です。

    無線 LAN のプロパティの 「Microsoft ネットワーク用ファイルとプリンタ共有」 のチェックを外す方法などはどうでしょうか?
    (ファイアウォールの設定でも制御出来るような気もしますが、、)


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年8月24日 9:10
    モデレータ
  • おせわになります

    無線LANプロパティを外すというのは一番最初にやってみたことなのですが、社内LANのパソコンが

    見えてしまいました。

    ファイヤウォールの設定で私もいけるとおもったのですが・・・。参考までに私が行った設定を記します。

    ・デフォルトで受信送信を拒否にする

    ・ファイル共有・プログラム制御の通信許可プロファイルをすべて無効(パブリック・ドメイン・プライベートすべて)

    ・受信送信、TCPとUDPで137、138、139、445ポートを許可(プロファイル新規作成)

    ・上記プロファイルに対してリモート192.168.1.0/24だけに限定

    以上です。

    2011年8月25日 1:27
  • すみません、少し勘違いをしていました。

    Windows Server 2008 の端末をルーター化されていて、その端末上の共有フォルダではなく、ルーティング先にある別端末の共有フォルダについてのお話でしたね。

    「Microsoft ネットワーク用ファイルとプリンタ共有」 のチェックを外す方法については、ルーター化された端末上の共有フォルダが見えなくなるだけかもしれません。


    念のためにですが、ファイアウォールで全ての通信を拒否するように設定するとどうなりますか?


    追記:
    ルーター化されているので、RRAS の入力フィルタでファイル共有のポートをブロックすればできると思います。

    - 参考情報
    2.RRASを使ったパケット・フィルタリング(1)
    http://www.atmarkit.co.jp/fwin2k/special/iconnect_sbs2k_05/iconnect2.html
    (Win2008 も同じような設定ができます)


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年8月25日 2:57
    モデレータ
  • お世話になります。

    ルーター機能を追加するにはネットワークアダプタの共用のチェックボックスを外さなければならないと思うのですが、

    これを外してしまうとWiFi子機の設定プログラムに怒られるようになって、子機そのものがうまく動かなくなってしまいます。

    参りました・・・。

    2011年8月25日 7:19