Network > Network ACL > コンソール使用ガイド

ACL

ACL機能の詳細はNetwork ACL文書を参照してください。

ACL作成

ACLを作成するにはACL作成ボタンをクリックし、次の値を入力します。

  • 名前:ACLの名前を入力します。
  • 説明:ACLの説明を入力します。

確認をクリックするとACLが作成されます。

ACL変更

ACLのプロパティのうち、名前と説明を変更できます。

ACL削除

選択したACLを削除できます。 ACLにバインドされたネットワークがない時のみ削除できます。

ACL Rule追加

ACLを選択すると、下部にACL Ruleメニューが表示されます。 ACL Ruleを追加すると、このACLを使用するすべてのネットワークに追加されたルール(rule)が反映されます。

  • プロトコル:TCP、UDP、ICMPなどのプロトコルを選択します。
  • src cidr:src IPまたは帯域を入力します。
  • src port:src portまたは範囲を入力します。
  • dst cidr:dst IPまたは帯域を入力します。
  • dst port:dst portまたは範囲を入力します。
  • 順序:適用順序を入力します。該当ルールが適用される優先順位を意味します。値が小さいものが先に適用されます。
  • 適用方法:ルールが許可なのか遮断なのかを入力します。
  • 説明:ACL Ruleの説明を入力します。

確認をクリックするとACL Ruleが作成されます。

[参考] srcとdstのペアで設定する

例えば192.168.0.10アドレスからのみ192.168.0.13アドレスのtcp 22番に接続を許可させるには、次のようにルール(rule)を追加します。 "protocol"="tcp", "src cidr"="192.168.0.10/32", "dst cidr"="192.168.0.13/32", "dst_port_range_min"=22, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.13/32", "src_port_range_min"=22, "dst cidr"="192.168.0.10/32", "policy"="allow" 該当アドレスにパケットが入った後、出る必要がありますが、最初のルールしかない場合、該当インスタンスの立場ではdstは入ることだけ許可するのであって、2つ目のルールがある時のみsrcから出ることが許可されるためです。

[参考] srcとdstアドレス

例えば、TOASTインスタンスから固定IP 192.168.0.10にFloating IP 133.186.237.10を接続すると、同じVPCからのアクセスが目的の場合 ACL Ruleは固定IP 192.168.0.10をアドレスに設定するのが便利です。 192.168.0.10(fip:133.186.237.10)と 192.168.0.20(fip:133.186.237.20)、2つのインスタンスの間に10番から20番に80番ポート接続を許可するルール(rule)を設定すると仮定すると

固定IPに設定する場合、次のように設定して192.168.0.10からcurl http://192.168.0.20のように固定IPでアクセスしてください。 "protocol"="tcp", "src cidr"="192.168.0.10/32", "dst cidr"="192.168.0.20/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.20/32", "src_port_range_min"=80, "dst cidr"="192.168.0.10/32", "policy"="allow"

Floating IPに設定する場合、次のように設定し、133.186.237.10からcurl http://133.186.237.20のようにFloating IPでアクセスしてください。 "protocol"="tcp", "src cidr"="133.186.237.10/32", "dst cidr"="192.168.0.20/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.20/32", "src_port_range_min"=80, "dst cidr"="133.186.0.10/32", "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.10/32", "dst cidr"="133.186.237.20/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="133.186.237.20/32", "src_port_range_min"=80, "dst cidr"="192.168.0.10/32", "policy"="allow"

他のVPCからのアクセスの場合

133.186.237.30(VPC1)から192.168.0.40(fip:133.186.237.40, VPC2)に80番の接続を許可するには VPC2とバインドされたACL Ruleに次のように設定してください。 (VPC1はACL Rule設定なし) "protocol"="tcp", "src cidr"="133.186.237.30/32", "dst cidr"="192.168.0.40/32", "dst_port_range_min"=80, "policy"="allow" "protocol"="tcp", "src cidr"="192.168.0.40/32", "src_port_range_min"=80, "dst cidr"="133.186.237.30/32", "policy"="allow"

[参考] ACL Rule order

ACL作成時、基本的にorder number 101番に全て許可するルールが適用され、order number 32765に全て拒否するルールが適用されます。 したがって、デフォルト値(default)状態はすべてが許可されている状態になります。ユーザーが101番を消して任意でルールを追加できます。基本使用方式はホワイトリストを管理する方式です。 各ACLの最後のルールはorder numberが32765で、ポリシーは全て拒否です。削除はできません。 order number 101番から32765番の間の値を使用して自由にルールを追加できます。 1~100番は内部システム用に予約されています。 orderを修正することはできず、削除した後に再度作成する必要があるため、ルールを設定する時は10~100程度のorder numberの間隔を置いて設定することを推奨します。 ブラックリストを管理する方式に変更するには、order number 32764にすべてを許可するルールを追加し、その前のorder numberにブラックリストルールを管理してください。

[参考] ACLとACL Ruleの数

プロジェクトごとにACLを最大10個まで作成できます。 プロジェクトごとにACL Ruleを最大100個まで作成できます。

ACL Rule変更

ルールのプロパティのうち、説明のみ変更できます。

ACL Rule削除

ACLを選択すると、下部にACL Ruleメニューが表示されます。 ACL Ruleを削除すると、そのACLを使用するすべてのネットワークから該当ルールが削除されます。

ACLバインド

ACLを適用するネットワークを選択し、確認をクリックします。 1つのACLは複数のネットワークにバインドできます。 1つのネットワークには1つのACLのみバインドできます。

ACLバインド解除

ACL適用を解除するネットワークを選択し、確認をクリックします。

TOP