IP ブラックリスト

ポリシー名

IP ブラックリスト

概要

IP アドレスのリストまたは範囲をブロックする

カテゴリ

セキュリティ

最小 Mule バージョン

3.8.0

返される状況コード

403 - IP は拒否されました

IP ブラックリストポリシーは、IP アドレスのリストまたは範囲が設定された API エンドポイントにアクセスしてやりとりできるかどうかを制御できます。次のいずれかのオプションを使用して、API 用のアドレスをブラックリスト登録できます。

  • オプション 1: 要求の IP アドレスに基づいてアクセスをブラックリスト登録する

  • オプション 2: x-Forwarded-For ヘッダーの発生元 IP アドレスに基づいてアクセスをブラックリスト登録する

オプション 1: 要求の IP アドレスに基づいてアクセスをブラックリスト登録する

  1. API のインスタンス番号をクリックします。

  2. API ダッシュボードで、[Policies (ポリシー)] をクリックします。

    適用されているポリシーのリストが表示されます。

  3. [Apply New Policy (新規ポリシーを適用)]。

  4. [Select Policy (ポリシーを選択)] で、[IP Blacklist (IP ブラックリスト)] を選択し、[Configure Policy (ポリシーを設定)] をクリックします。

  5. [Apply IP Blacklist Policy (IP ブラックリストポリシーを適用)] の [Blacklist (ブラックリスト)] セクションで IP アドレスのリストを指定します。

    指定されたアドレスによる API へのアクセスとやりとりがブラックリスト登録されます。

次の方法で 1 つのアドレスまたはアドレスの範囲を指定できます。

  • 特定の IP アドレスを定義するには、そのアドレスのみを指定します。たとえば、192.168.1.1 です。

  • アドレスのサブセットを定義するには、サブセットマスクを指定します。たとえば、「192.168.3.1/30」と指定すると、統合範囲 192.168.3.0 ~ 192.168.3.3 が含まれます。

  • IP アドレスの範囲全体を定義するには、許可する IP アドレスの関連オクテットを指定します。たとえば、「​192.168​」と設定すると、192.168.0.0 ~ 192.168.255.255 の IP アドレスが含まれます。

オプション 2: x-Forwarded-For ヘッダーの発生元 IP アドレスに基づいてアクセスをブラックリスト登録する

クライアントが HTTP プロキシまたはロードバランサを介して API に接続している場合、要求に含まれるアドレスではなく、クライアントの特定の IP (要求の発生元 IP) をブラックリスト登録できます。 たとえば、 192.168.2.3 をブラックリスト登録するとします。これは、アドレスが 92.40.1.255 の HTTP プロキシを介して接続しているクライアントのアドレスです。クライアントの要求はこの公開アドレスで表示されます。 通常、アプリケーションは「X-Forwarded-For」ヘッダーを使用して、エンドポイントにリダイレクトされた要求の発生元 IP アドレスを識別します。

Mule 式を使用してサービスに「x-Forwarded-For」ヘッダー内の IP アドレスを探すように指示できます。

#[message.inboundProperties['​http.headers']['X-Forwarded-For']]

[IP expression (IP 式)] 項目に IP アドレスを挿入します。

ip+blacklist+ip_expression

これにより、API プラットフォームに、要求の「x-Forwarded-For」ヘッダーの連結値に含まれる最初の IP アドレスを参照するように指示されます。

関連情報

Was this article helpful?

💙 Thanks for your feedback!