IP Restriction (with Deny - Test)
概要
IP制限ポリシーは、管理者がリクエストを行うクライアントのIPアドレスに基づいてAPIへのアクセスを制御できるようにします。これは、Allow および Deny リストの両方をサポートし、個別形式またはCIDR表記でIPを受け入れます。
このポリシーは、ファイアウォールの背後にAPIを保護し、信頼されたIPのみに露出を制限したり、既知の悪意のあるIPを明示的にブロックしたりする際に便利です。
設定の詳細
設定インターフェースには、2つの主要なトグル - Allow および Deny - と、IPまたはCIDRブロックを指定するための対応する入力フィールドが含まれています。
| Field | Description |
|---|---|
| Allow (有効/無効) | 有効にすると、ここに指定されたIPアドレスまたはCIDR範囲のみがAPIへのアクセスを許可されます。無効にすると、IPレベルの許可リストは適用されません。 |
| Allow 値 | 1つ以上のIP(例:192.168.0.10)またはCIDRブロック(例:192.168.0.0/24)を入力します。各エントリはEnterを押して確認する必要があります。 |
| Deny (有効/無効) | 有効にすると、ここに指定されたIPアドレスまたはCIDR範囲はAPIへのアクセスを拒否されます。無効にすると、拒否ルールは強制されません。 |
| Deny 値 | ブロックする1つ以上のIPまたはCIDRブロックを入力します。各エントリはEnterを押して確認する必要があります。 |
注記
両方の Allow および Deny が有効な場合:
- システムは最初に Allow ルールを適用します:Allow フィールドにリストされたIPのみが評価されます。
- 次に、Deny ルールが上書きされます:IPが両方に一致する場合、それはブロックされます。
制限事項
- IPアドレスはIPv4形式に従うか、有効なCIDR範囲でなければなりません。
- 重複または不正なエントリは検証エラーを引き起こします。
- 許可リストと拒否リストは組み合わせて使用できますが、矛盾する設定を避けるために注意が必要です。
IP制限の入力例と結果
以下の例は、許可ルールと拒否ルールがどのように相互作用し、特定のIPからのリクエストがどのような結果になるかを示しています:
| Allow | Deny | Request IP | Result | Explanation |
|---|---|---|---|---|
| - | 192.168.0.5 | 192.168.0.5 | ブロック | IPは明示的に拒否されています。許可ルールが定義されていないため、すべてのIPが考慮されます。 |
| 192.168.0.0/24 | - | 192.168.0.10 | 許可 | IPは許可されたCIDR範囲に一致します。拒否ルールは定義されていません。 |
| 10.0.0.0/8 | 10.0.0.100 | 10.0.0.100 | ブロック | IPは許可と拒否の両方に一致します;拒否が優先されます。 |
| 10.0.0.0/8 | 192.168.0.0/16 | 192.168.1.1 | ブロック | IPは許可された範囲に含まれず、拒否されたCIDRにも含まれています。 |
| - | - | 192.168.0.1 | 許可 | 制限が定義されていません。すべてのIPがデフォルトで許可されます。 |
注記
APIをデプロイする前に、特に許可ルールと拒否ルールの両方を有効にする場合は、APIテストでIP制限の設定を必ずテストしてください。