パケットフィルター

「パケットフィルター」は、ご契約中の さくらのVPS の通信制限をコントロールパネル上で設定できる機能です。
標準であらかじめ用意されている選択可能なポート(80や443など)や「カスタム」でお客様が設定した任意のポートを、コントロールパネル上で「利用する(有効)」または「利用しない(無効)」にすることにより、外部からの着信パケットに対して通信制限を行うことが可能です。
本機能を用いることで従来サーバー内で行なっていた設定をコントロールパネルから簡単に行うことができます。

「標準」で設定できる項目

フィルタの用途

ポート

許可する送信元IPアドレス

備考

SSH

22

すべて許可する

サーバーにリモートログインするために利用します

Web

80/443

すべて許可する

Webサーバーにアクセスするために利用します

FTP

20/21

すべて許可する

ファイルのアップロード/ダウンロードをするために利用します

メール

25/110/143/465/587/993/995

すべて許可する

メールの送受信をするために利用します

「カスタム」で設定できる項目

フィルタの用途

ポート

許可する送信元IPアドレス

備考

カスタム

1〜32767

「すべて許可する」または「任意のIPとサブネットマスク」

1から32767の範囲で任意の接続許可ポートが設定可能です
許可する送信元IPアドレスに任意のIPアドレスとサブネットマスクの設定が可能です
パケットフィルターの構成例

注意事項

パケットフィルター機能をご利用いただく際は、以下の内容にご注意ください。

  • さくらのVPS の全バージョンでご利用いただけます。「 さくらのVPS for Windows Server 」ではご利用いただけません。

  • 登録可能なルール数は「標準」及び「カスタム」を合計して「10ルール」までとなります。

  • 対象は「IPv4」アドレスです。「IPv6」アドレスには対応しておりません。

  • IPv6アドレスでの通信は「全て許可」の状態になります。

  • 1番目のネットワークインタフェースにのみ適用されます。1番目のネットワークインタフェースは、通常、お客様VPSからは、eth0 もしくは ens3 として認識されます。

  • 1番目のネットワークインタフェースの接続先にかかわらず、設定が反映されます。1番目のネットワークインタフェースを ローカルネットワーク接続 に変更される場合はご注意ください。

  • お客様ご利用中の さくらのVPS で動作している各OSに設定されたファイアウォールと、パケットフィルターの動作が重複する可能性があります。

  • スタートアップスクリプトをご利用の場合、スクリプトが使用するポートによりパケットフィルターは併用できない可能性があります。

  • パケットフィルターはステートレス動作のため、戻りパケットのための通信をあらかじめ許可しています。パケットフィルターで許可または破棄されている通信は下図をご参照ください。なお、この設定を変更することはできません。

プロトコル

ポート

動作

備考

icmp

"*"

許可

サーバーに対して疎通確認を許可するため

fragment

"*"

許可

分割されたパケットの通信を許可するため

udp

123(ntp)

許可

サーバー内から外部への時刻同期を行った戻りパケットを許可するため

udp

32768:65535

許可

サーバー内から外部へ通信を行なった戻りパケットを許可するため

tcp

32768:65535

許可

サーバー内から外部へ通信を行なった戻りパケットを許可するため

その他のIP通信

"*"

破棄

許可された通信以外を破棄(DROP)するため

利用方法

パケットフィルターの有効化

ご契約中の さくらのVPS でパケットフィルター機能を有効化する場合の設定方法です。

注意

ご自身のサーバー内でファイアウォール設定を行っている場合は、設定が重複する恐れがあるため「パケットフィルターを利用しない」を推奨いたします。

「サーバー」を選択し、パケットフィルターを有効化するサーバーをクリックします。

サーバーのリンク

「パケットフィルター設定」をクリックします。

パケットフィルター設定の場所

「パケットフィルターを設定」をクリックします。

パケットフィルターを設定のボタン

「パケットフィルター設定を追加する」をクリックします。

パケットフィルターを設定するのボタン

フィルタの種類を選択して「追加」をクリックします。

追加のボタン

「設定を保存する」をクリックします。

設定を保存するのボタン

パケットフィルター設定の追加・削除

利用中のパケットフィルターに対して、通信を許可するポート設定の追加や削除が可能です。

  • [追加]

「パケットフィルター設定を追加する」から任意のポート設定を追加して「設定を保存する」をクリックします。

追加のボタン
  • [削除]

削除したい設定の「×」押して「設定を保存する」をクリックします。

設定を保存するのボタン

パケットフィルターのカスタム設定

任意の開放ポートを設定することが可能です。標準で用意されている接続許可ポート以外を開放する際にご利用ください。(パケットフィルター機能を有効化している必要があります)

フィルタの種類で「カスタム」を選択します。

任意の値を入力して「追加」をクリックします。
※ ポートの値は数値で 1 から 32767 の範囲で指定してください。
追加のボタン

「設定を保存する」をクリックします。

設定を保存するのボタン

パケットフィルターの無効化

「パケットフィルターを利用しない」をクリックします。

パケットフィルターを利用しないのボタン

「設定を保存する」をクリックします。

設定を保存するのボタン

Q&A

Q. パケットフィルター機能で用意されている「標準」以外のポート設定はできますか?
A.はい、「カスタム」で設定が可能です。TCP/UDP 共にポートの値は数値で「1 から 32767」の範囲、ネットマスクは「/32」の範囲でご指定ください。

Q. パケットフィルターで許可したポートに接続できません。
A.ご自身のサーバー内でファイアウォール設定を行われている可能性があります。一度、以下のコマンドで設定されているかご確認ください。
# iptables -L

サーバー内にファイアウォール設定が行われていた場合、パケットフィルター機能をご利用の際は以下の手順でサーバー内のファイアウォール設定を無効化してください。

(CentOS 7の場合)
# systemctl stop firewalld
# systemctl disable firewalld
(CentOS 6の場合)
# service iptables stop
# chkconfig iptables off
(Ubuntu 16.04の場合)
# iptables-save > /etc/iptables/iptables.rules
# iptables -F INPUT
# chmod 644 /etc/network/if-pre-up.d/iptables

上記で解消されない場合は、通信を行いたいサービスが正常に起動しているかご確認ください。