パーソナルツール

ゾーンAアクセス制限

お知らせ

  • ゾーンAアクセス制限にポート範囲指定機能が追加されました(2017年8月18日)
    • 本機能の追加により,TV会議システムなどの多数のポート許可が必要なアクセス制限記述が行いやすくなりました。ぜひご活用ください。

 ゾーンAホストは外部(インターネット)からも自由にアクセス可能なホストですが、それは同時に

常に攻撃にさらされていることを意味します。サーバの場合はまず、iptablesなどを用いてホスト自体での
アクセス制限を設定してください。
同時に、本アクセス制限機能を使い、可能な限り不要なアクセスを制限するよう設定してください。

この機能を利用すると、

  • 指定したネットワークからのアクセスのみに制限する
  • 指定したポート番号や指定したポート番号の範囲へのアクセスのみに制限する

ことができます。(併用も可能です。その場合いずれかの条件にマッチすれば許可されます)

設定は、ネットワーク利用申請システムの「ゾーンAホスト申請」で可能です。

 

以下に、具体例を掲載します。

  • [例1]
    広島大学内からのアクセスのみ許可する。
    null
    この場合、ポート番号での制限はありません。

  • [例2]
    TCP80番(httpプロトコル)のポートのみ通信許可する。
    null

   ※IPv4とIPv6のそれぞれで指定できます。

  この場合、IPアドレスでの制限はかかりません。

  • [例3]
    TCP80番のポートのみ許可する。また、
    IPv4は 133.41.0.0 /16(広島大学)または 123.45.6.0/24 からのアクセス
    IPv6は 2001:2f8:1c1::/48(広島大学)または 2001:2f8:1002::/48 から
    のアクセスのみ許可する。
    null

    この場合、指定したネットワーク以外からはTCP/80でアクセスできます。また、
    指定したネットワークからは全てのポートでアクセスできます。
  • [例4] 
    IPv4は 133.41.0.0 /16(広島大学)からのアクセスのみ,IPv6も 2001:2f8:1c1::/48(広島大学)からのアクセスのみ許可する。また,学外からのIPv4のアクセスはTCP1720番・2253-2255番ポート,TCP・UDPの49152-49159番のみ許可する。
    null

    この場合,指定したIPv4ネットワーク以外からはTCP/1720, TCP/2253-2255,TCP・UDP/49152-49159でアクセスできます。また、指定したIPv4, IPv6ネットワークからは全てのポートでアクセスできます。
    * TV会議システム等の外部からの動的接続が必要な場合に有効です。


利用上の注意

  • このサービスはゾーンAのみ利用できます。
    サブネット接続サービス、ゾーンBなどでは利用できません。
  • IPv4、IPv6 それぞれ10行まで指定できます。
  • このアクセス制限は、学内学外の区別はありません。学内に対しても有効になります。学外の限定したネットワークからのアクセスに制限した場合は、学内からもアクセスできなくなります。ご注意ください。
  • ゾーンAホストから発信される通信の応答(戻り)パケットについても原則として適用されますが、以下に該当するパケットは本サービスの指定に関わらず受信します。
    • ゾーンAホストから発信されたTCPプロトコルパケットの応答(戻り)パケット
    • ゾーンAホストから発信されたUDPプロトコルでのDNS問い合わせとNTP問い合わせの応答(戻り)パケット
  • FAQもあわせて参照ください。
ドキュメントアクション