こんにちは、UOZUです!
以前の記事では、さくらのクラウドのパケットフィルターやファイアウォールについて紹介しましたが、今回さくらのVPSで利用できるパケットフィルターについて、設定時の注意点を中心に解説します。
さくらのVPSのパケットフィルターでできること
さくらのVPSでは、上位ネットワーク側で通信を制御する機能として、パケットフィルターを利用できます。
VPS作成時やOS再インストール時にデフォルト設定で進めると、SSH接続が許可された状態になりますが、この場合、TCP 22番ポートに対して、すべての送信元IPアドレスからアクセスできる設定になります。
また必要に応じて、以下のような通信も許可できます。
- Web:HTTP / HTTPS
- FTP
- メール関連ポート
また、許可するサービスやポート番号を指定したり、送信元IPアドレスを限定したりすることも可能になっています。
パケットフィルターで常にアクセスが許可される範囲
ここでさくらのVPSのパケットフィルターの注意点があります。
設定画面には、以下のような注意書きが表示されますが、これはパケットフィルターでは制限できず、常に許可される通信がある点としての注意表記になります。
エフェメラルポート TCP/UDP 32768-65535番ポート、NTP UDP 123番ポート、IPv6通信、ICMP、フラグメントパケットはすべて許可されます。
具体的には、以下の通信はパケットフィルターで制限できなくなっています。
- IPv6通信
- ICMP(pingなど)
- フラグメントパケット
- TCP 32768〜65535番ポート
- UDP 32768〜65535番ポート
- UDP 123番ポート(NTP)
例えばさくらのVPSでは、OSの設定を調整する事でIPv6アドレスが利用出来る様になりますが、その際、IPv6からのアクセスが、パケットフィルター側の制限は出来ないという事になります。
また、「さくらのVPS for Windows Server」ではパケットフィルター自体が有効に出来ない為、その点も注意が必要です。
アクセス制限サービスの比較
と言う訳で、さくらのVPS、さくらのクラウドのアクセス制限機能と仕様についての比較表も作成してみました。
| サービス名 | 機能 | 制限可能なアクセス | 制限できないアクセス | 動作 | 備考 |
| さくらのVPS | パケットフィルター | IPv4 / TCP / UDP の特定ポート※1〜32767番ポート | IPv6通信ICMPフラグメントパケットTCP / UDP 32768〜65535番ポートUDP 123番ポート(NTP) | ステートレス | さくらのVPS for Windows Serverでは利用不可 |
| さくらのクラウド | パケットフィルター | IPv4 / TCP / UDP / ICMP / フラグメントパケット | - | ステートレス | IPv6に非対応 |
| さくらのクラウド | VPNルーター | TCP / UDP / ICMP / フラグメントパケット | - | ステートフル | IPv6に非対応 |
| サーバOS | ファイアウォール | TCP / UDP / ICMP / フラグメントパケット | - | ステートフル | OS側の設定内容に依存 |
パケットフィルタやVPNルーターのファイアウォールは、サーバーへのアクセスより手前で制限が可能ですが、制限が出来ないアクセスがあったり、IPv6に対応しない場合があるので、利用したいネットワークに応じ、機能を選ぶ必要がありそうです。
さいごに
今回は、さくらのVPSのパケットフィルターでできることと、利用時に注意したいポイントについて解説しました。
さくらのVPSのパケットフィルターは、SSHやWeb、メール関連ポートなどのアクセス制限に利用できる便利な機能です。
ただし、IPv6通信、ICMP、フラグメントパケット、32768〜65535番ポートなど、パケットフィルターでは制限できない通信もあります。
さくらのVPSやさくらのクラウドでのアクセス制限、ネットワーク設計、サーバー運用でお悩みの際は、ぜひネットアシストまでお気軽にご相談ください。
最後までお読みいただき、ありがとうございました。
-300x200.png)
