IP ルールの評価順序を説明します。トラフィックフィルタリングを有効化する手順やルールを追加・編集する手順については、トラフィックフィルタリングを設定する を参照してください。
IP ルールの評価順序
ルールの並び順は評価に影響しません
IP ルールでは、一覧や CSV の並び順ではなく、最も詳細に一致するルール (ロンゲストマッチ) が適用されます。評価結果を変えるためにルールを並べ替える必要はありません。
詳細度は、以下の観点で判断されます。
| 判定基準 | 優先される条件 |
|---|---|
| CIDR レンジ | より狭いレンジが、より広いレンジに優先します。 |
| プロトコル | プロトコルを指定したルールが、ALL (255) を指定したルールに優先します。 |
| ポート | ポートを指定したルールが、ポート未指定のルールに優先します。 |
| ポート範囲 | より狭いポート範囲が、より広いポート範囲に優先します。 |
以下に具体例を示します。
例 1: CIDR レンジの詳細度による優先
192.168.0.0/16 への通信のみを許可し、そのほかすべての宛先への通信を拒否する設定です。
# cidr, protocol, fromPort, toPort, action
0.0.0.0/0, ALL, any, any, deny
192.168.0.0/16, ALL, any, any, allow
192.168.x.x 宛ての通信は、より詳細な 192.168.0.0/16 のルールにマッチして許可されます。それ以外の宛先は 0.0.0.0/0 のルールに該当して拒否されます。
例 2: プロトコルの詳細度による優先
すべての TCP 通信を許可し、そのほかのプロトコルの通信を拒否する設定です。
# cidr, protocol, fromPort, toPort, action
0.0.0.0/0, ALL, any, any, deny
0.0.0.0/0, TCP, any, any, allow
TCP を指定したルールは、すべてのプロトコル (ALL) を指定したルールよりも詳細とみなされ、TCP 通信に対しては許可するルールが適用されます。
例 3: ポート指定の詳細度による優先
TCP 443 (TLS) への通信のみを許可し、そのほかすべての TCP 通信を拒否する設定です。
# cidr, protocol, fromPort, toPort, action
0.0.0.0/0, TCP, any, any, deny
0.0.0.0/0, TCP, 443, 443, allow
ポートを指定しないルール (すべての TCP ポートにマッチ) よりも、ポートを 443 に限定したルールが詳細とみなされ、443 番ポート宛ての通信は許可されます。
例 4: 複数の観点を組み合わせた優先
以下を組み合わせた設定です。
192.168.0.0/16宛ての TCP 443 (TLS) は許可192.168.0.0/16宛てのそのほかの TCP 通信は拒否- 上記に該当しないすべての通信は許可
# cidr, protocol, fromPort, toPort, action
0.0.0.0/0, ALL, any, any, allow
192.168.0.0/16, TCP, 443, 443, allow
192.168.0.0/16, TCP, 0, 65535, deny
ルールの並び順は評価に影響しないため、詳細なルールを先に書く必要はありません。192.168.0.0/16 の TCP 443 宛て通信には許可するルールが、それ以外の 192.168.0.0/16 の TCP 通信には拒否するルールが、それ以外のすべての通信には 0.0.0.0/0 の許可するルールがそれぞれ適用されます。