206208801
201976002

パケットフィルタ

対象サービス・プラン
 

サーバに着信するパケットを指定した条件(TCPやUDPなどのプロトコル、送信元ネットワーク、宛先ポート)でフィルタリングすることができます。

概要

サーバに搭載される仮想NICに着信するパケットを、指定した条件(TCPやUDPなどのプロトコル、送信元ネットワーク、宛先ポートなど)で
フィルタリングする機能です。
サーバ内のファイアウォールなどの設定によらず、クラウドコントロールパネル上で簡単にパケット制限を行うことができます。

対象プロトコル

パケットフィルタ機能では以下のプロトコルに対応しています。

プロトコル 指定可能な項目
TCP 送信元ネットワーク, 送信元ポート, 宛先ポート
UDP 送信元ネットワーク, 送信元ポート, 宛先ポート
ICMP 送信元ネットワーク
fragment 送信元ネットワーク
IP 送信元ネットワーク
送信元ネットワーク 送信元ネットワーク

プロトコルの詳細、指定方法は以下のとおりです。

送信元ネットワーク

[ネットワークアドレス]/[マスク長]の記法により設定します(例: 192.168.10.0/24)。
「/」以降のマスク長部分を省略することで単一のIPアドレスの指定も可能です(例: 192.168.10.1)。

送信元ポート, 宛先ポート

[開始ポート]-[終了ポート]の記法により設定します(例: 1024-2048)。
設定可能なポート番号は1~65535となります。単一のポート番号での指定も可能です。
1つのルールにおいて、送信元ポート、もしくは宛先ポートのいずれかのみを範囲指定できます。
(送信元ポートと宛先ポートの両方を範囲指定することはできません)

fragment

fragment(分割)されたIPパケットの2パケット目以降にマッチします。
1パケット目はTCPまたはUDPで指定したポート番号でのマッチが可能です。

ネットワーク・ポート入力欄を空欄にした場合の動作

ネットワーク・ポート入力欄を空欄で設定した場合は「ANY」(全てマッチ)として処理されます。

ルール数の上限

1つのパケットフィルタあたり最大30個までルールを追加できます。
パケットフィルタの作成数には上限はありません。

ページの先頭へ

パケットフィルタの作成

クラウドコントロールパネルログイン

クラウドコントロールパネルへログインします。
アカウントを選択し、さくらのクラウド(IaaS)をクリックしてください。

パケットフィルタの作成

左側のメニューから『 パケットフィルタ 』をクリックします。

『 追加 』をクリックします。

cloud_s_packetfilter-img-020.png

作成するパケットフィルタに関する情報を入力し、『 作成 』をクリックします。

cloud_s_packetfilter-img-030.png

確認画面が表示されます。
作成してよければ『 作成 』をクリックします。

ステータスが [ 成功 ] に変われば、作成完了です。
『 閉じる 』をクリックします。

ページの先頭へ

ルールの追加

ルールの評価

パケットフィルタ内で設定されたルールは上から順に評価され、
条件にマッチしたパケットに対して「アクション」で設定した動作(Allow/Deny)が行われます。
いずれの条件にもマッチしなかったパケットはAllow動作となり、NICに着信します。
 
いずれの条件にもマッチしなかったパケットを全て拒否する場合は、以下のように「送信元ネットワーク」を空欄、
「アクション」で「Deny」を選択したルールをルールリスト末尾に追加します。

ルールの追加方法

左側のメニューから『 パケットフィルタ 』をクリックします。

ルールを追加するパケットフィルタのチェックボックスにチェックを入れ 、
『 詳細 』をクリックします。

cloud_s_packetfilter-img-070.png

『 ルール 』をクリックし、『 追加 』をクリックします。

cloud_s_packetfilter-img-080.png

プロトコル 「tcp」、「udp」、「ip」のいずれかを選択します。
「ip」はtcpやudp、icmpなどすべての上位プロトコルにマッチします。
(フィルタ対象のフレームはIPv4のみとなります)
送信元ネットワーク フィルタ処理を行う送信元のネットワークを指定します。
単一のIPアドレスのほか、ネットワーク範囲。
(192.168.0.0/24や192.168.0.0/255.255.255.0など)での指定も可能です。
宛先ポート フィルタ処理を行う宛先ポート番号を指定します。
入力値は1~65535の範囲の整数、もしくは「*」(ワイルドカード)が指定可能です。
なお、プロトコルで「ip」を指定した場合、入力できません。
アクション フィルタ処理にマッチした場合に「allow」(許可)するか、
「deny」(拒否)するかを選択します。

補足

cloud_s_packetfilter-img-100.png

追加したルールはリスト画面右側のアイコンでそれぞれ以下の操作を行うことができます。

アイコン 説明
ルール追加時と同様の画面が表示され、ルールを編集することができます。
ルールを削除します。
をドラッグ・アンド・ドロップしていただくことで順番が変更可能です。

「情報」タブをクリックすることでパケットフィルタの情報確認ができます。
「編集」ボタンをクリックすると作成時に指定した名前や説明の編集が行えます。

cloud_s_packetfilter-img-150.png

ページの先頭へ

適用サーバ

パケットフィルタを適用しているサーバを確認することが可能です。

cloud_packetfilter-img-250.png

ページの先頭へ

NICへのパケットフィルタ適用

ICへのパケットフィルタ適用

左側のメニューから『 サーバ 』をクリックします。

NICを追加するサーバのチェックボックスにチェックを入れ
『 詳細 』をクリックします。

『 NIC 』をクリックし、パケットフィルタを適用するNICの『 ▼ 』をクリックします。

cloud_s_packetfilter-img-160.png

『 パケットフィルタを編集 』を選択します。

適用するパケットフィルタを選択し、『 更新 』をクリックします。

ステータスが [ 成功 ] に変われば、設定は完了です。
『 閉じる 』をクリックします。

設定したパケットフィルタを解除したい場合は、
パケットフィルタ選択画面で未設定状態(一番上の『 _ 』)を選択し、『 更新 』をクリックします。

ページの先頭へ

設定例

よく使用される設定を例に、パケットフィルタ機能の設定方法を説明します。

特定のIPアドレスからの着信を全て拒否する

特定のIPアドレスからの着信を、プロトコルやポート番号によらず、全て拒否する設定です。
指定した拒否対象IPアドレス以外からの着信は許可されます。

例: 203.0.113.0/24ネットワークからの接続を全て拒否

cloud_s_packetfilter-img-200.png

特定のポート宛の通信のアクセスを制限する

SSHの接続元をお客様組織のネットワークなど安全な場所のみに限定し、その他のネットワークからの接続を拒否する設定です。
SSH以外のポートへの接続は全て許可されます。

例: 198.51.100.0/24ネットワークからのみSSH接続を許可

cloud_s_packetfilter-img-210.png

必要ポートのみ開放し、他の不必要なポート宛の着信は全て拒否する

  • 全ての送信元からの80番ポート(HTTP)への接続を許可
  • SSHは198.51.100.0/24ネットワークからのみ許可
  • NTPサーバntp1.sakura.ad.jp(210.188.224.14)からのレスポンスを許可
  • サーバ発通信の戻りパケット(TCP/UDP 32,768~61,000番ポートに着信)を許可
  • 全てのICMPパケットの着信を許可
  • 全てのfragmentパケットの着信を許可
  • 上記ルールに適合しなかったパケットを全て拒否

※パケットフィルタ機能はステートレス動作のため、最後に全て拒否のルールを設定する場合、
サーバ発の通信の戻りパケットを適切に許可する設定が必要です。

cloud_s_packetfilter-img-220.png

戻りパケットのポート番号の範囲は、Linuxの場合以下のコマンドで確認可能です。

$ sysctl net.ipv4.ip_local_port_range
net.ipv4.ip_local_port_range = 32768 61000

なお、この範囲を狭めるように設定変更することで、よりセキュアなルールにすることができます。

注意事項

  • ルール設定を変更した場合、該当のパケットフィルタを設定しているNICへのフィルタ設定もすぐに反映されます。
  • バージョン3.1以降のコントロールパネルで対応しています。以前のバージョンでは一部機能が使用できません。
  • Ver1.3以上のホストで動作しているサーバに適用可能です。
  • Ver1.2以前のバージョンのホストで動作しているサーバでは、一部機能が使用できません。
  • Ver1.2以前のバージョンのホストで動作しているサーバの場合は、サーバ停止→起動操作を行うことで、Ver1.3以上のホストで動作します。
  • 現在IPv6には対応していません(今後対応を予定しています)。

ページの先頭へ

パケットフィルタの削除

クラウドコントロールパネルログイン

クラウドコントロールパネルへログインします。
アカウントを選択し、さくらのクラウド(IaaS)をクリックしてください。

パケットフィルタの削除

左側のメニューから『 パケットフィルタ 』をクリックします。

パケットフィルタ一覧から削除したいパケットフィルタのチェックボックスにチェックを入れ 、
『 削除 』をクリックします。

cloud_s_packetfilter-img-240.png

右上の『 削除 』をクリックします。

cloud_s_packetfilter-img-250.png

確認画面が表示されます。
削除してよければ『 削除 』をクリックします。

ステータスが [ 成功 ] に変われば、削除完了です。
『 閉じる 』をクリックします。

さくらのサポート情報

メニューを閉じる