URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3925
|
最終更新日 2018/04/02 |
FAQ_ID:3925 |
Business >
i-FILTER Ver.9/Ver.10/Reporter >
グループ設定
Business >
i-FILTER Ver.9/Ver.10/Reporter >
ログ出力
|
「i-FILTER」X-Forwarded-Forヘッダー使用してIPアドレスを取得するが、グルーピングはソースIP(下位プロキシ等)で行うことは可能ですか
|
|
対応バージョン: i-FILTER Ver.9 / Ver.10
対応OS: すべてのOS
「接続元」を指定したIPアドレスリストと、グループ設定の[高度な設定]で
「グルーピング」を組み合わせて使用することで可能になります。
───────────────────────────────────────
※本FAQでは、用語を下記の定義に統一します。
クライアントIPアドレス・・・X-Forwarded-Forヘッダーによって「i-FILTER」に
通知される、クライアントPCのIPアドレス
ソースIPアドレス・・・下位プロキシ等、「i-FILTER」の前段からリクエストを
送信してくる機器のIPアドレス
※下位プロキシサーバーが存在する場合、
「i-FILTER」が認識できるクライアントIPアドレスは下位プロキシサーバーの
IPアドレスのみとなります。
下位プロキシサーバーで「X-Forwarded-For」(以下XFF)のような、
「上位プロキシにクライアントIPを伝えるヘッダー」を付与することにより、
「i-FILTER」はクライアントIPを認識することが可能になります。
XFFヘッダーについては下記FAQを参照してください。
▽「i-FILTER」 下位プロキシサーバーが配置されている場合、認証機能で注意することはありますか
───────────────────────────────────────
XFFヘッダーによるクライアントIPアドレスの設定を適用しながら、
グルーピングには下位プロキシのIPアドレスを使用するための手順は
下記のとおりです。
【シナリオ】
下記のような構成を仮定し、
「下位プロキシA」配下のPCと「下位プロキシB」配下のPCが
別のグループに判定されるよう設定します。
下位プロキシA:10.0.0.1
クライアントPCのIPアドレス:192.168.0.1
下位プロキシB:172.16.0.1
クライアントPCのIPアドレス:192.168.0.1
【事前準備】
下位プロキシ側でXFFヘッダーを追加する設定をおこないます。
【設定手順】
1. XFFヘッダーで通知されたIPアドレスを「i-FILTER」の
クライアントIPアドレスとして設定します。
管理画面[システム / ヘッダーコントローラー]
-----------------------------------------------------------
タイプ : 通信設定をHTTPリクエストヘッダーの値で変更する
ルールパーツ: ※未選択
通信設定 : IPアドレス
クライアントIPアドレス
ヘッダー名 : X-Forwarded-For
-----------------------------------------------------------
2. 接続元IPアドレスでのユーザーキャッシュを有効にします。
管理画面[システム / システムパラメーター / 動作設定]の「ユーザーキャッシュ情報」で
「接続元IPアドレス/拡張子」を「有効」に設定します。
3. [ルールセット / ルールパーツ / IPアドレスリスト]を開き、下位プロキシA、下位プロキシBを
含むIPアドレスリストをそれぞれ作成します。
・ルールパーツ1(設定名:下位プロキシA)
---
ディレクション:接続元(SRC_ORG)
新規IPアドレス:10.0.0.1
---
・ルールパーツ2(設定名:下位プロキシB)
---
ディレクション:接続元(SRC_ORG)
新規IPアドレス:172.16.0.1
---
4. 下位プロキシA、下位プロキシBそれぞれのグループを作成します。
この時、「ユーザー」にはクライアントIPアドレス(192.168.0.1)を登録しておきます。
5. 下位プロキシAのグループを開き、「高度な設定」に移動します。
6. 「グルーピング」を選択した状態で、下記の設定行を作成し保存します。
-----------------------------------------------------------
タイプ : グルーピング
ルールパーツ: IPアドレスリスト(接続元)
「3.」で作成した”下位プロキシA”を追加
-----------------------------------------------------------
7. 下位プロキシB用のグループについても、同様に設定します。
8. 以上で設定は完了です。
意図通りグループ判定されることと、アクセスログに下記のように出力されている
ことを確認してください。
8カラム目 |
接続元IPアドレス ※下位プロキシのIPアドレス |
9カラム目 |
クライアントIPアドレス ※XFFヘッダー記載のIPアドレス |
本FAQよりも詳細な設定手順を「設定ガイド」に記載していますので、そちらも参考に
してください。
▽マニュアル
「i-FILTER」Ver.10 設定ガイド
5-1-7 下位プロキシ別のグルーピング(接続元IPアドレス)
「i-FILTER」Ver.9 運用マニュアル
5-1-7 下位プロキシ別のグルーピング(接続元IPアドレス)
|