パケットフィルタ

「パケットフィルタ」は、ご契約中のさくらのVPSの通信制限をコントロールパネル上で設定できる機能です。

「標準接続許可ポート設定」であらかじめ用意されている選択可能なポート(80や443など)や、「カスタム接続許可ポート設定」でお客様が設定した任意のポートをコントロールパネル上で「有効(利用する)」または「無効(利用しない)」にすることにより、外部からの着信パケットに対して通信制限を行うことが可能です。

本機能を用いることで、従来サーバ内で行なっていた設定をコントロールパネルから簡単に行うことができます。

「標準接続許可ポート設定」で設定できる項目

フィルタの用途 ポート 許可する送信元IPアドレス 備考
SSH 22 すべて許可する サーバにリモートログインするために利用します
Web 80/443 すべて許可する Webサーバにアクセスするために利用します
FTP 20/21 すべて許可する ファイルのアップロード/ダウンロードをするために利用します
メール 25/110/143/465/587/993/995 すべて許可する メールの送受信をするために利用します

「カスタム接続許可ポート設定」で設定できる項目
※ 最大10個まで登録が可能です。

フィルタの用途 ポート 許可する送信元IPアドレス 備考
カスタム 1〜32767 「すべて許可する」または「任意のIPとサブネットマスク」 1から32767の範囲で任意の接続許可ポートが設定可能です
許可する送信元IPアドレスに、任意のIPアドレスとサブネットマスクの設定が可能です

注意事項

パケットフィルタ機能をご利用いただく際は、以下の内容にご注意ください。

  • さくらのVPSの全バージョンでご利用いただけます。「さくらのVPS for Windows Server および、さくらのVPS ベアメタルプラン」ではご利用いただけません。
  • 対象は「IPv4」アドレスです。「IPv6」アドレスには対応しておりません。
  • IPv6アドレスでの通信は「全て許可」の状態になります。
  • お客様ご利用中のさくらのVPSで動作している各OSに設定されたファイアウォールと、パケットフィルタの動作が重複する可能性があります。
  • スタートアップスクリプトをご利用の場合、スクリプトが使用するポートによりパケットフィルタは併用できない可能性があります。
  • パケットフィルタはステートレス動作のため、戻りパケットのための通信をあらかじめ許可しています。パケットフィルタで許可または拒否されている通信は下図をご参照ください。なお、この設定を変更することはできません。
プロトコル ポート 動作 備考
icmp 「*」 許可 サーバに対して疎通確認を許可するため
fragment 「*」 許可 分割されたパケットの通信を許可するため
udp 123(ntp) 許可 サーバ内から外部への時刻同期を行った戻りパケットを許可するため
udp 32768:65535 許可 サーバ内から外部へ通信を行なった戻りパケットを許可するため
tcp 32768:65535 許可 サーバ内から外部へ通信を行なった戻りパケットを許可するため
その他のIP通信 「*」 拒否 許可された通信以外を破棄するため

利用方法

パケットフィルタの有効化

ご契約中のさくらのVPSでパケットフィルタ機能を有効化する場合の設定方法です。

注意

ご自身のサーバ内でファイアウォール設定を行っている場合は、設定が重複する恐れがあるため「パケットフィルタを利用しない」を推奨いたします。

「サーバ」を選択し、パケットフィルタを有効化するサーバをクリックします。

「パケットフィルタ」をクリックします。

「パケットフィルタ設定へ」をクリックします。

「パケットフィルタを利用する」をクリックします。

「開放ポートを追加する」をクリックします。

「標準接続許可ポート設定」や「カスタム接続許可ポート設定」を追加してから「設定を保存する」をクリックします。

パケットフィルタを設定する

通信を許可するポートの選択方法です。(パケットフィルタ機能を有効化している必要があります)

「サーバ」を選択し、パケットフィルタを有効化するサーバをクリックします。

「パケットフィルタ」をクリックします。

「パケットフィルタ設定へ」をクリックします。

「開放ポートを追加する」をクリックします。

追加するアプリケーション名を選択し、「設定を保存する」をクリックします。

カスタム接続許可ポートの設定

任意の開放ポートを設定することが可能です。標準で用意されている接続許可ポート以外を開放する際にご利用ください。(パケットフィルタ機能を有効化している必要があります)

「サーバ」を選択し、パケットフィルタを有効化するサーバをクリックします。

「パケットフィルタ」をクリックします。

「パケットフィルタ設定へ」をクリックします。

「開放ポートを追加する」をクリックします。

「カスタム」の状態でプロトコル、ポート番号、許可する送信元IPアドレスを任意に設定します。

「許可する送信元IPアドレス」は「編集」をクリックすることで、IPアドレスとサブネットマスクの設定が可能です。

「範囲を見る」をクリックすることで、許可する送信元IPアドレスの範囲を確認することができます。

必要な設定を入力して「設定を保存する」をクリックします。
※ 入力欄の右側にある「×」をクリックすると設定を削除できます。
※ ポートの値は数値で 1 から 32767 の範囲で指定してください。

パケットフィルタの無効化

パケットフィルタ機能を無効化する場合の設定方法です。

「サーバ」を選択し、パケットフィルタを有効化するサーバをクリックします。

「パケットフィルタ」をクリックします。

「パケットフィルタ設定へ」をクリックします。

「利用しない」を選択して「設定を保存する」をクリックします。

Q&A

Q. パケットフィルタ機能で用意されている「標準接続許可ポート設定」以外のポート設定はできますか?
A.はい、「カスタム接続許可ポート設定」で設定が可能です。TCP/UDP 共にポートの値は数値で「1 から 32767」の範囲で、ネットマスクは「/32」の範囲でご指定ください。

Q. パケットフィルタで許可したポートに接続できません。
A.ご自身のサーバ内でファイアウォール設定を行われている可能性があります。一度、以下のコマンドで設定されているかご確認ください。

# iptables -L

サーバ内にファイアウォール設定が行われていた場合、パケットフィルタ機能をご利用の際は以下の手順でサーバ内のファイアウォール設定を無効化してください。

(CentOS7の場合)
# systemctl stop firewalld
# systemctl disable firewalld
(CentOS6の場合)
# service iptables stop
# chkconfig iptables off
(Ununtu16の場合)
# iptables-save > /etc/iptables/iptables.rules
# iptables -F INPUT
# chmod 644 /etc/network/if-pre-up.d/iptables

上記で解消されない場合は、通信をおこないたいサービスが正常に起動しているかご確認ください。