アウトバウンドルーティングフィルターを設定する
アウトバウンドルーティングフィルターを設定すると、VPG を利用する IoT SIM が直接アクセスできるサーバーを制限できます。たとえば、VPG を経由する通信をすべて拒否したり、ピアリング先や専用線、仮想専用線での接続先環境へのアクセスをすべて許可したりできます。
制限するには、以下の設定例のように IP アドレスレンジで許可 / 拒否を設定します。
設定例 | ||
---|---|---|
すべてのサーバーへの通信を拒否 | deny | 0.0.0.0/0 |
任意の IP アドレス (例: 10.0.0.119/32 ) への通信を許可 | allow | 10.0.0.119/32 |
任意の IP アドレスレンジ (例: 10.128.0.0/9 ) への通信を許可 | allow | 10.128.0.0/9 |
アウトバウンドルーティングフィルターを設定しても Beam などを利用して間接的に任意のサーバーにデータを送信できます
アウトバウンドルーティングフィルターで deny
、0.0.0.0/0
と指定して、すべてのサーバーへの通信を拒否しても、SORACOM Beam、SORACOM Funnel、SORACOM Funk を利用して、任意のサーバーにデータを転送できます。また、Harvest Data/Files にもデータやファイルを送信できます。詳しくは、アウトバウンドルーティングフィルターとインターネットゲートウェイとの違い を参照してください。
操作を始める前に準備が必要です (クリックして確認してください)
(1) VPG を作成する
VPG を作成してください。詳しくは、VPG を作成する を参照してください。
(2) IoT SIM が利用する VPG を切り替える
IoT SIM が、(1) で作成した VPG を利用するように設定し、セッションを再確立してください。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。
準備完了ステップ 1: アウトバウンドルーティングフィルターを設定する
ここでは 10.0.0.119
のみへのアクセスを許可するアウトバウンドルーティングフィルターを設定します。
アウトバウンドルーティングフィルターを設定する VPG の VPG 設定画面で、
をクリックします。VPG 設定画面を表示する操作について詳しくは、VPG の設定を変更する を参照してください。
10.0.0.119
へのアクセスのみを許可するため、全体 (0.0.0.0/0
) を拒否 (deny
) し、10.0.0.119/32
を許可 (allow
) するように入力します。- をクリックすると、入力欄が 1 行追加されます。
- をクリックすると、入力欄が 1 行削除されます。
→ の順にクリックします。
SORACOM API の場合
- SORACOM API を利用するには、API キーと API トークンが必要です。詳しくは、API キーと API トークンの取り扱いについて を参照してください。
{vpg_id}
は、VirtualPrivateGateway:listVirtualPrivateGateways API
で取得できます。
10.0.0.119
へのアクセスのみを許可するため、全体 (0.0.0.0/0
) を拒否し、10.0.0.119/32
を許可するように設定します。
VirtualPrivateGateway:setRoutingFilter API
を使用します。
curl -v -X POST https://api.soracom.io/v1/virtual_private_gateways/{vpg_id}/set_routing_filter \
-H "X-Soracom-API-Key: $X_SORACOM_API_KEY" \
-H "X-Soracom-Token: $X_SORACOM_TOKEN" \
-H "Content-Type: application/json" \
-d '[
{
"action": "deny",
"ipRange": "0.0.0.0/0"
},
{
"action": "allow",
"ipRange": "10.0.0.119/32"
}
]'
ステップ 2: 拒否アドレスにアクセスできないことを確認する
VPG を適用した IoT SIM から「10.0.0.119」にアクセスできること、これ以外にアクセスできないことを確認してください。
10.0.0.119 が Web サーバーであれば以下のように確認できます。
$ curl http://10.0.0.119/
<html lang="en">
......
また、ping が可能であれば、ping 10.0.0.119
で確認することもできます。