Q&A
ご回答ありがとうございます。
ご質問が足りておりませんでしたが、TCP/IP というレベルにおいてどういった仕様になっているのか確認したくご質問させていただきました。
###前提・実現したいこと
172.16.0.0/24 のネットワーク環境において、特定のアドレス範囲のIP アドレスへの通信を許可したいと考えております。
例:
172.16.0.248/28 受信ポート22 のインバウンド通信を許可
上記の例の場合、ブロードキャストアドレスが含まれていますが、許可しているアドレス以外に通信が通ってしまうようなリスクはないのでしょうか。
回答3件
0
ベストアンサー
「192.0.2.120/29」といった表記は、可変長サブネットマスク (VLSM) によるIPアドレスの範囲を表すものです。この表記で表されるアドレス範囲が必ずクラスレスルーティング (CIDR) によるルーティングの対象になるわけではないです。
まず、ネットワーク「192.0.2.0/24」があるとします。この場合、ルータ (ゲートウェイ) やネットワーク内の各ホストはそのネットワークのネットマスク長を知っています。それらの機器は192.0.2.0をネットワークアドレス、192.0.2.255をIPブロードキャストのIPアドレスと認識しますから、これらのIPアドレス宛てへの通信を自分宛ての通信と混同することはありません。また、これらのIPアドレスを持つ機器をネットワークに接続しても、正常に動作しないでしょう。
一方、「192.0.2.120/29」という表記は上記ネットワークのサブネットではあっても、そのネットマスクをルータや各ホストが知っているわけではなく、単なるIPアドレスの範囲を表すにすぎません。実際、上記ネットワーク上に192.0.2.120や192.0.2.127といったIPアドレスを持つ機器が存在しても、正常に動作します。
また「192.0.2.248/29」であれば、192.0.2.255というIPアドレスが (範囲の最後にあるからではなく) 上記ネットワークのIPブロードキャストアドレスにあたるため、そのアドレスを持つ機器を接続しても正常に動作しないと考えられます。
まとめると、ご質問への回答は次のようになると思います。
- ソフトウェアの仕様にもよりますが、ファイアウォールの設定の中でVLSM表記で指定したIPアドレス範囲については、範囲内の全てのIPアドレスに対する通信が許可されるのではないかと考えられます。
- ただし、当該ネットワークのネットワークアドレスやブロードキャストアドレスと、ネットワーク外のIPアドレスとの間の通信は、通常できません。
投稿2016/12/15 03:09
総合スコア4443
0
曖昧な表記によるコマンド(設定)に対する動作は「ものによる」と思います。
もの(型式、メーカ)によっては、そもそもコマンドエラーとして受理されないかもしれません。
投稿2016/12/13 14:22
総合スコア4853
0
設定対象機器の想定が不明ですが、172.16.0.248/28というのがそもそもおかしくないですか?
質問文が「特定のアドレス範囲のIP アドレスへの通信を許可したい」とあるので、172.16.0.248を含む28ビットマスクのネットワークセグメントとして書きたいのであれば、172.16.0.240/28とが正しいと思います。
投稿2016/12/13 13:10
総合スコア1894
ご回答およびご指摘ありがとうございます。
ご質問が足りておりませんでしたが、TCP/IP というレベルにおいてどういった仕様になっているのか確認したくご質問させていただきました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/12/18 09:58