さくらのレンタルサーバでは国外IPアドレスフィルタを有効にした状態でホワイトリストに登録したIPからの接続を許可することが可能です。その時のIPの指定方法はCIDR表記という記述になるため、IPはそのまま記述するのではなくちょっとした変更が必要です。
ホワイトリストにIPを登録する方法は公式のサポートページに丁寧な記述がありますが、CIDR表記や記述方法については説明がなかったためご説明します。
これにより、国外IPアドレスフィルタを有効にした状態で、ホワイトリストに登録した特定のアクセス元からの接続を許可することができ、安全な運用に繋がります。
目次
CIDR表記はIPアドレスを範囲で指定できる
以下に詳しく説明があります。
「198.51.100.xxx/24」のような形で、IPアドレスの後ろにスラッシュと「どのネットワークですよ~」な情報の長さ(サブネットマスクの中にある1の個数)を書く表記方法のこと
CIDR表記 (サイダー表記)とは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
通常のIPは「192.0.2.0」のような形ですが、CIDR表記の場合は「192.0.2.0/24」とか「192.0.2.0/32」といったようにIPの右側に「スラッシュ」と「1〜32の数字(サブネットマスク)」という形式になります。
「1〜32の数字」に指定する数字によって、アクセス元のIPを可変的に指定することができます。例えば「192.0.2.0」から「192.0.2.255」までのIPアドレスすべてを許可したい場合、「192.0.2.0」「192.0.2.1」……と書いていくと256個のIPアドレスを指定する必要がありますが、CIDR表記の場合だと「192.0.2.0/24」と記述することで対応できます。
「192.0.2.0」から「192.0.2.255」までといったように、特定の範囲を指定したい場合に便利な表現方法です。
今回CIDR表記の計算には ネットワーク計算ツール・CIDR計算ツール | Softel labs を利用しました。
さくらのレンタルサーバはCIDR表記で指定する必要がある
さくらのレンタルサーバの国外IPアドレスフィルタについては公式に詳しく説明があります。
国外IPアドレスフィルタを有効にすることで、国外から特定のファイルやディレクトリへのアクセス、FTP接続、公開鍵認証を覗いたSSH接続等を禁止します。
国外IPアドレスフィルタを有効にしたまま国外IPからのアクセスを許可したい場合は、ホワイトリストにIPを指定します。その際のIPアドレスはさくらのレンタルサーバの場合、CIDR表記で行う必要があります。(ちなみに許可されるのはHTTP/HTTPS経由のウェブアクセスによる特定ファイル/フォルダのみとのこと)
特定の範囲を指定したい場合でも、一つの固有のIPを指定したい場合でもいずれにしてもCIDR表記にする必要があります。
一つの固有のIPのみの場合はサブネットマスクに32を指定
例えば「192.0.2.0」という固有のIPのみ設定したい場合は、サブネットマスクに32を指定することで範囲は「192.0.2.0」から「192.0.2.0」までという1つの指定になり「192.0.2.0」が許可されます。その場合は「192.0.2.0/32」を設定します。
一部の技術的な利用方法を覗いて、一般的な使い方の場合は固定IPを追加したり、海外がアクセス元のサービス等のIPを設定するため、サブネットマスクに32を設定するこの形式での利用が多いと思います。
サブネットマスクに24や16等の数値を設定してもアクセスは許可されますが、不要なIPまで設定されるためセキュリティリスクはあがります。例えば「192.0.2.0/16」と設定すると「192.0.0.0から192.0.255.255まで」という設定範囲になり、許可されるIPアドレス数は65536個にもなります。
国外からの重要ファイルへのアクセスを制限しつつ、ホワイトリストを設定して安全な運用に
以上、さくらレンタルサーバのホワイトリストへのIP設定方法でした。
固有のIPを設定したい場合はネットマスクを32に指定するとIPアドレス数は1つとなるため、IPアドレス末尾に「/32」を追加すれば解決です。
通常の利用であれば国外IPアドレスフィルタを有効にしておいたほうが安全です。基本は有効にしておき、必要に応じてホワイトリストにIPを追加する運用が望ましいでしょう。
コメントを残す