ゾーンAのアクセス制限について

ゾーンAは学外向けサーバなどを設置するゾーンです。しかし、全く制限なく通信を許可するのは危険です。
サーバの場合はまず、iptablesなどを用いてホスト自体でのアクセス制限を設定してください。
同時に、本アクセス制限機能を使い、可能な限り不要なアクセスを制限するよう設定してください。
この機能を利用することで、

  • 指定したネットワークからのアクセスのみに制限する
  • 定したポート番号や指定したポート番号の範囲へのアクセスのみに制限する

ことが可能になります。
併用も可能ですが、その場合はどちらかの条件にマッチすれば通信許可となります。

以下にゾーンAのアクセス制限の設定手順について具体例を挙げて説明します。
ゾーンBのアクセス制限については別ページに説明しております。

以下に設定例をあげます。

[例1]広島大学内からのアクセスのみ許可する

この場合、ポート番号での制限はありません。

[例2]TCP80番(httpプロトコル)のポートのみ通信許可する

※IPv4とIPv6のそれぞれで指定できます。この場合、IPアドレスでの制限はかかりません。

[例3]TCP80番のポートのみ許可する。また、IPv4は 133.41.0.0 /16(広島大学)または 123.45.6.0/24 からのアクセス,IPv6は 2001:2f8:1c1::/48(広島大学)または 2001:2f8:1002::/48 からのアクセスのみ許可する

この場合、すべてのネットワークから TCP/80 でアクセスできます。さらに、指定したネットワークからは全てのポートでアクセスできます。

[例4]IPv4は 133.41.0.0 /16(広島大学)からのアクセスのみ,IPv6も 2001:2f8:1c1::/48(広島大学)からのアクセスのみ許可する。また,学外からのIPv4のアクセスはTCP1720番・2253-2255番ポート,TCP・UDPの49152-49159番のみ許可する

この場合,すべてのネットワークから TCP/1720, TCP/2253-2255,TCP・UDP/49152-49159でアクセスできます。
さらに、指定したIPv4, IPv6ネットワークからは全てのポートでアクセスできます。
※ TV会議システム等の外部からの動的接続が必要な場合に有効です。

注意

  • IPv4、IPv6 それぞれ20行まで指定できます。
  • このアクセス制限は、学内学外の区別はありません。学内に対しても有効になります。学外の限定したネットワークからのアクセスに制限した場合は、学内からもアクセスできなくなります。ご注意ください。
  • HINETの実装上、設定対象ホストと同一VLAN(同一サブネット)内のホストからは制限が有効になりません。
  • ゾーンAホストから発信される通信の応答(戻り)パケットについても原則として適用されますが、以下に該当するパケットは本サービスの指定に関わらず受信します。
    • ゾーンAホストから発信されたTCPプロトコルパケットの応答(戻り)パケット
    • ゾーンAホストから発信されたUDPプロトコルでのDNS問い合わせとNTP問い合わせの応答(戻り)パケット