本文へジャンプします。

ニフティクラウド 技術仕様

クラウド トップ>技術仕様>ファイアウォール>IPアドレス重複防止ルール

ファイアウォール:IPアドレス重複防止ルール

共通ネットワークに接続されるサーバーには、IPアドレスの重複を防止するファイアウォールルールが自動的に適用されます。(デフォルトルール同様、設定の無効化は出来ません。)
共通ネットワークはデータリンク層で他のお客様のサーバーも接続されるネットワークです。一般的に、共通ネットワークではサーバー設定ミスなどによりIPアドレスが重複した場合に正常に通信が出来なくなります。(共通ネットワークにおけるネットワーク設定の変更はニフクラ禁止事項の禁止行為に該当します)
このようなIPアドレスの重複を防止するために、IPアドレス重複防止ルールとしてファイアウォールが適用されます。

IPアドレス重複防止ルールが適用される共通ネットワーク

以下の共通ネットワークに接続されるサーバーにIPアドレス重複防止のファイアウォールルールが適用されます。※

ネットワーク名 共通グローバル
共通プライベート

プライベートLANなど、上記以外のネットワークにはIPアドレス重複防止ルールは適用されません。

  • ※一部のニフクラ環境で適用済みであり、順次メンテナンスを行い適用環境を拡大します。

IPアドレス重複防止ルールで適用されるファイアウォール

IPアドレス重複防止ルールは、サーバーが共通ネットワークに接続しているNIC毎にファイアウォールが適用されます。IPアドレス重複防止ルールはニフクラがサーバーに対して割り当てたIPアドレス、MACアドレスの組み合わせで設定・適用され、それ以外のIPアドレス、MACアドレスでの通信は遮断します。

例) サーバーを共通グローバル、共通プライベートに接続した場合

NIC ネットワーク IPアドレス NICのMACアドレス 適用されるIPアドレス重複防止ルール
NIC 1 共通グローバル 203.0.113.10 00:00:5E:00:53:01 NIC 1に 203.0.113.10 , 00:00:5E:00:53:01 の通信のみ許可されるルールが適用
NIC 2 共通プライベート 192.0.2.20 00:00:5E:00:53:02 NIC 2に 192.0.2.20 , 00:00:5E:00:53:02 の通信のみ許可されるルールが適用
IPアドレスが異なる通信
  • 共通グローバルのNIC 1に 203.0.113.1 と設定した場合、203.0.113.1 を用いた通信の送信、受信は遮断されます。
  • 共通プライベートのNIC 2に 192.0.2.1 と設定した場合、192.0.2.1 を用いた通信の送信、受信は遮断されます。
MACアドレスが異なる通信
  • 共通グローバルのNIC 1から 00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は遮断されます。
  • 共通ネットワークのNIC 2から 00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は遮断されます。

例) サーバーを共通グローバル、プライベートLANに接続した場合

NIC ネットワーク IPアドレス NICのMACアドレス 適用されるIPアドレス重複防止ルール
NIC 1 共通グローバル 203.0.113.10 00:00:5E:00:53:01 NIC 1に 203.0.113.10 , 00:00:5E:00:53:01 の通信のみ許可されるルールが適用
NIC 2 プライペートLAN 192.0.2.100 00:00:5E:00:53:03 共通ネットワークではないため、適用されない
IPアドレスが異なる通信
  • 共通グローバルのNIC 1に 203.0.113.1 と設定した場合、203.0.113.1 を用いた通信の送信、受信は遮断されます。
  • プライベートLANのNIC 2はIPアドレス重複防止ルールが適用されないため192.0.2.1 を用いた通信の送信、受信は許可されます。※
MACアドレスが異なる通信
  • 共通グローバルのNIC 1から 00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は遮断されます。
  • プライベートLANのNIC 2はIPアドレス重複防止ルールが適用されないため、00:00:5E:00:53:AB のMACアドレスを用いた通信の受信、送信は許可されます。
  • ※ ファイアウォールのルールで別途通信を遮断する設定であれば通信は遮断されます。

IPアドレス重複防止ルールで制限される通信

通信が遮断される主なケース
  1. 共通ネットワークに接続するNICにDHCPでIPアドレスを取得せずに、割り当て以外のIPアドレスを静的に設定した場合
  2. 異なるサーバーの通信を共通ネットワーク経由でフォワーディングした場合
  3. OS内の仮想NICまたは仮想Bridgeを用いた共通ネットワークを経由する通信
  4. 共通ネットワーク上でのDSR(Direct Server Return)構成の通信
  5. リンクローカルアドレス(169.254.0.0/16 , fe80::/64)の通信

IPアドレス重複防止ルールで制限される通信

例外的に通信が許可されるケース

以下の通信はIPアドレス重複防止ルールに合致しなくても通信は許可されます。

  • DHCPによるIPアドレスの取得の通信
  • マルチキャストの通信の受信
  • ブロードキャストの通信の受信

推奨画面サイズ 1024×768 以上