概要
「パケットフィルタ」は、ご契約中の「さくらのVPS」の通信制限をコントロールパネル上で設定できる機能です。
「標準接続許可ポート設定」であらかじめ用意されている選択可能なポート(80や443など)や「カスタム接続許可ポート設定」でお客様が設定した任意のポートをコントロールパネル上で「有効(利用する)」または「無効(利用しない)」にすることにより、外部からの着信パケットに対して通信制限を行うことが可能です。
本機能を用いることで、従来サーバ内で行なっていた設定をコントロールパネルから簡単に行うことができます。
|
プロトコル
|
ポート
|
備考
|
|---|---|---|
| SSH | 22 | サーバにリモートログインするために利用します |
| Web | 80/443 | Webサーバにアクセスするために利用します |
| FTP | 20/21 | ファイルのアップロード/ダウンロードをするために利用します |
| メール | 25/110/143/465/587/993/995 | メールの送受信をするために利用します |
|
表示名
|
ポート
|
備考
|
|---|---|---|
| カスタム | 1〜32767 | 1から32767の範囲でお客様の任意の接続許可ポートが設定可能です |
※「カスタム接続許可ポート設定」は最大5個まで登録が可能です。
注意事項
パケットフィルタ機能をご利用いただく際は、以下の内容にご注意ください。
・「さくらのVPS」の全バージョンでご利用いただけます。「さくらのVPS for Windows Server および、さくらのVPS ベアメタルプラン」ではご利用いただけません。
・対象は「IPv4」アドレスです。「IPv6」アドレスには対応しておりません。
・IPv6アドレスでの通信は「全て許可」の状態になります。
・お客様ご利用中のさくらのVPSで動作している各OSに設定されたファイアウォールと、パケットフィルタの動作が重複する可能性があります。
・スタートアップスクリプトをご利用の場合、スクリプトが使用するポートによりパケットフィルタは併用できない可能性があります。
・パケットフィルタはステートレス動作のため、戻りパケットのための通信をあらかじめ許可しています。パケットフィルタで許可または拒否されている通信は下図をご参照ください。なお、この設定を変更することはできません。
|
プロトコル
|
ポート
|
動作
|
備考
|
|---|---|---|---|
| icmp | * | 許可 | サーバに対して疎通確認を許可するため |
| fragment | * | 許可 | 分割されたパケットの通信を許可するため |
| udp | 123(ntp) | 許可 | サーバ内から外部への時刻同期を行った戻りパケットを許可するため |
| udp | 32768:65535 | 許可 | サーバ内から外部へ通信を行なった戻りパケットを許可するため |
| tcp | 32768:65535 | 許可 | サーバ内から外部へ通信を行なった戻りパケットを許可するため |
| その他のIP通信 | * | 拒否 | 許可された通信以外を破棄するため |
利用方法
パケットフィルタの有効化
ご契約中の「さくらのVPS」でパケットフィルタ機能を有効化する場合の設定方法です。
1.さくらのVPSのコントロールパネルへ「会員ID」と「会員メニューパスワード」を入力してログインします。
| 会員ID | お客様の会員ID(例:nnn12345) |
| パスワード | 会員メニューパスワード お申し込み時にお客様にて決めていただいた任意のパスワード。 紛失された場合は「会員メニューパスワードの変更・再発行」をご確認ください。 |
2.サーバ一覧からパケットフィルタを有効化するサーバをクリックします。
3.「パケットフィルタ」をクリックします。
4.「パケットフィルタ設定へ」をクリックします。
5.「利用する(標準設定)」を選択して「設定」をクリックすると、パケットフィルタの有効化は完了です。
※初期設定では「SSH(22番ポート)」が許可されています。
※ご自身のサーバ内でファイアウォール設定を行っている場合は、設定が重複する恐れがあるため無効化(利用しない)することを推奨いたします。
パケットフィルタを設定する
通信を許可するポートの選択方法です。(パケットフィルタ機能を有効化している必要があります)
1.さくらのVPSのコントロールパネルへ「会員ID」と「会員メニューパスワード」を入力してログインします。
| 会員ID | お客様の会員ID(例:nnn12345) |
| パスワード | 会員メニューパスワード お申し込み時にお客様にて決めていただいた任意のパスワード。 紛失された場合は「会員メニューパスワードの変更・再発行」をご確認ください。 |
2.サーバ一覧からパケットフィルタを設定するサーバをクリックします。
3.「パケットフィルタ」をクリックします。
4.「パケットフィルタ設定へ」をクリックします。
5.通信を許可する項目を選択(複数可)して「設定」をクリックすると、接続可能ポートへの追加は完了です。
カスタム接続許可ポートの設定
任意の開放ポートを設定することが可能です。標準で用意されている接続許可ポート以外を開放する際にご利用ください。(パケットフィルタ機能を有効化している必要があります)
1.さくらのVPSのコントロールパネルへ「会員ID」と「会員メニューパスワード」を入力してログインします。
| 会員ID | お客様の会員ID(例:nnn12345) |
| パスワード | 会員メニューパスワード お申し込み時にお客様にて決めていただいた任意のパスワード。 紛失された場合は「会員メニューパスワードの変更・再発行」をご確認ください。 |
2.サーバ一覧からパケットフィルタを設定するサーバをクリックします。
3.「パケットフィルタ」をクリックします。
4.「パケットフィルタ設定へ」をクリックします。
5.「任意の開放ポート設定を追加する」をクリックします。
6.表示された入力欄に任意の接続許可ポート設定を入力し、「設定」をクリックすることで保存されます。(入力欄の右側にある「×」をクリックすると設定を削除できます)
※ポートの値は数値で 1 から 32767 の範囲で指定してください。
パケットフィルタの無効化
パケットフィルタ機能を無効化する場合の設定方法です。
1.さくらのVPSのコントロールパネルへ「会員ID」と「会員メニューパスワード」を入力してログインします。
| 会員ID | お客様の会員ID(例:nnn12345) |
| パスワード | 会員メニューパスワード お申し込み時にお客様にて決めていただいた任意のパスワード。 紛失された場合は「会員メニューパスワードの変更・再発行」をご確認ください。 |
2.サーバ一覧からパケットフィルタを無効化するサーバをクリックします。
3.「パケットフィルタ」をクリックします。
4.「パケットフィルタ設定へ」をクリックします。
5.「利用しない」を選択して「設定」をクリックすると、パケットフィルタの無効化は完了です。
※パケットフィルタを無効化した場合、無効化と同時に設定が反映されるため、ご自身のサーバ内でファイアウォール設定を行ったのちに無効化することを推奨いたします。
Q&A
Q. パケットフィルタ機能で用意されている「標準接続許可ポート設定」以外のポート設定はできますか?
A.はい、「カスタム接続許可ポート設定」で設定が可能です。TCP/UDP 共にポートの値は数値で 1 から 32767 の範囲でご指定ください。
Q. パケットフィルタで許可したポートに接続できません。
A.ご自身のサーバ内でファイアウォール設定を行われている可能性があります。一度、以下のコマンドで設定されているかご確認ください。
# iptables -L
サーバ内にファイアウォール設定が行われていた場合、パケットフィルタ機能をご利用の際は以下の手順でサーバ内のファイアウォール設定を無効化してください。
(CentOS7の場合) # systemctl stop firewalld # systemctl disable firewalld (CentOS6の場合) # service iptables stop # chkconfig iptables off
(Ununtu16の場合) # iptables-save > /etc/iptables/iptables.rules # iptables -F INPUT # chmod 644 /etc/network/if-pre-up.d/iptables
* 上記で解消されない場合は、通信を行いたいサービスが正常に起動しているかご確認ください。
