質問

2013年11月23日 18時08分
  • IPアクセス制限に登録するIPアドレスの範囲

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

こんにちは、
現在、社内で利用しているWEBサーバにIPアクセス制限をかけています。

新しい拠点が追加の際にIPアドレスの許可設定の追加をしております。
回線業者にグローバルIPアドレスを確認した際に(例:210.115.123.248/29)の
Rangeで設定して欲しいと言われ設定をしました。

上記のアドレスにはネットワークアドレス(210.115.123.248)や
ルータWAN側IPアドレス(210.115.123.249)も含まれております。

現在、WEBサーバへのアクセスは問題なく出来ております。

単純な疑問ですが、IPアクセス制限をかける際ネットワークアドレスや
ブロードキャストアドレス等を含むRangeの形で設定しますか?

もし理由があれば教えて下さい。
よろしくお願いいたします。

4件の回答があります

回答

まず こんな公開された場所にグローバルアドレスを晒すのはどうかと思いますが...

2013年11月23日 23時33分

回答

CIDR形式だと、簡単に全アドレスをカバーできるので便利です。

2013年11月25日 09時43分

回答

こんにちは。

レンジと個別IPの両方を利用してます。
単にレンジを利用すると、登録する手間が少なくなるからで、ネットワークアドレスとブロードキャストアドレスはさほど気にはしておりません。
恐らくここで言う回線業者さんの場合、どのIPを利用してアクセスしても困らないように依頼しているのではないでしょうか?

たとえばプライベートネットワークを登録する際は、どのように設定しておりますか?ネットワークアドレスやブロードキャストアドレス等を気にせず、恐らくレンジで設定していると思います。
グローバルの場合は少し気になるかと思いますが、そのレベルだけで良いと個人的には思います。どちらにせよ保有するIPはそこの回線業者さんなので。

2013年11月25日 16時56分
Nov

回答

お疲れ様です。

今まであまり気にしたことがないですが、確かに相手接続先が「/29」等のマスクでグローバルを持っていた場合、同じように「/29」をアクセスされる側のF/Wにポリシーを設定するとブロードキャストとネットワークアドレスが登録されてしまいますね。

私どもが作業で同様のことをする場合、WEBでアクセスするIPというのは大半が「/32」つまり1IPとなっているケースが多く、その1IPのみを許可するケースが多いです。(仮に接続してくる元の回線が/28や/25などの大きなグローバルIPを持っていたとしても、内部から外部へNATされて出てくるときは大半1IPで出てくるケースがほとんどです)

許可範囲にネットワークアドレスやブロードキャストアドレスが含まれていたとしても、そのネットワーク自身(IPアドレス範囲)が信頼できる箇所であれば、基本は気にすることは無いと思います。

もし、怪しい場合は「/32」で「/29」のうちの実質利用可能アドレスである5つを個別登録するしかないかもしれませんね。

2013年12月10日 15時44分

あなたもコメントしましょう!