ファイアウォール:IPアドレス重複防止ルール
共通ネットワークに接続されるサーバーには、IPアドレスの重複を防止するファイアウォールルールが自動的に適用されます。デフォルトルール同様、設定を無効化することはできません。
共通ネットワークはデータリンク層で他のお客様のサーバーも接続されるネットワークです。
一般的に、共通ネットワークではサーバー設定ミスなどによりIPアドレスが重複した場合に正常に通信が出来なくなります。(共通ネットワークにおけるネットワーク設定の変更はニフクラ禁止事項の禁止行為に該当します)
このようなIPアドレスの重複を防止するために、IPアドレス重複防止ルールとしてファイアウォールが適用されます。
IPアドレス重複防止ルールが適用される共通ネットワーク
以下の共通ネットワークに接続されるサーバーにIPアドレス重複防止のファイアウォールルールが適用されます。※
ネットワーク名 | 共通グローバル |
---|---|
共通プライベート |
※プライベートLANなど、上記以外のネットワークにはIPアドレス重複防止ルールは適用されません。
IPアドレス重複防止ルールで適用されるファイアウォール
IPアドレス重複防止ルールは、サーバーが共通ネットワークに接続しているNIC毎にファイアウォールが適用されます。このルールはニフクラがサーバーに対して割り当てたIPアドレス、MACアドレスの組み合わせで設定・適用され、それ以外のIPアドレス、MACアドレスでの通信は遮断します。
例) サーバーを共通グローバル、共通プライベートに接続した場合
NIC | ネットワーク | IPアドレス | NICのMACアドレス | 適用されるIPアドレス重複防止ルール |
---|---|---|---|---|
NIC 1 | 共通グローバル | 203.0.113.10 | 00:00:5E:00:53:01 | NIC 1に 203.0.113.10 , 00:00:5E:00:53:01 の通信のみ許可されるルールが適用 |
NIC 2 | 共通プライベート | 192.0.2.20 | 00:00:5E:00:53:02 | NIC 2に 192.0.2.20 , 00:00:5E:00:53:02 の通信のみ許可されるルールが適用 |
IPアドレスが異なる通信
- 共通グローバルのNIC 1に 203.0.113.1 と設定した場合、203.0.113.1 を用いた通信の送信、受信は遮断されます。
- 共通プライベートのNIC 2に 192.0.2.1 と設定した場合、192.0.2.1 を用いた通信の送信、受信は遮断されます。
MACアドレスが異なる通信
- 共通グローバルのNIC 1から 00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は遮断されます。
- 共通ネットワークのNIC 2から 00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は遮断されます。
例) サーバーを共通グローバル、プライベートLANに接続した場合
NIC | ネットワーク | IPアドレス | NICのMACアドレス | 適用されるIPアドレス重複防止ルール |
---|---|---|---|---|
NIC 1 | 共通グローバル | 203.0.113.10 | 00:00:5E:00:53:01 | NIC 1に 203.0.113.10 , 00:00:5E:00:53:01 の通信のみ許可されるルールが適用 |
NIC 2 | プライペートLAN | 192.0.2.100 | 00:00:5E:00:53:03 | 共通ネットワークではないため、適用されない |
IPアドレスが異なる通信
- 共通グローバルのNIC 1に 203.0.113.1 と設定した場合、203.0.113.1 を用いた通信の送信、受信は遮断されます。
- プライベートLANのNIC 2はIPアドレス重複防止ルールが適用されないため192.0.2.1 を用いた通信の送信、受信は許可されます。※
MACアドレスが異なる通信
- 共通グローバルのNIC 1から 00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は遮断されます。
- プライベートLANのNIC 2はIPアドレス重複防止ルールが適用されないため、00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は許可されます。
※ ファイアウォールのルールで別途通信を遮断する設定であれば通信は遮断されます。
IPアドレス重複防止ルールで制限される通信
通信が遮断される主なケース
① 共通ネットワークに接続するNICにDHCPでIPアドレスを取得せずに、割り当て以外のIPアドレスを静的に設定した場合
② 異なるサーバーの通信を共通ネットワーク経由でフォワーディングした場合
③ OS内の仮想NICまたは仮想Bridgeを用いた共通ネットワークを経由する通信
④ 共通ネットワーク上でのDSR(Direct Server Return)構成の通信
⑤ リンクローカルアドレス(169.254.0.0/16 , fe80::/64)の通信
例外的に通信が許可されるケース
以下の通信はIPアドレス重複防止ルールに合致しなくても通信は許可されます。
- DHCPによるIPアドレスの取得の通信
- マルチキャストの通信の受信
- ブロードキャストの通信の受信