i-FILTER Ver.10
i-FILTER Ver.9
i-FILTER Reporter
m-FILTER
D-SPA
D-SPA Manager
DigitalArts@Cloud
i-FILTER ブラウザー&クラウド Ver.3/Ver4
FinalCode
m-FILTER MailAdviser
お知らせ
サポート終了製品

URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3925
  FAQ_ID:3925
Business > i-FILTER Ver.10 > グループ設定
Business > i-FILTER Ver.10 > ログ出力
 
「i-FILTER」X-Forwarded-Forヘッダー使用してIPアドレスを取得するが、グルーピングはソースIP(下位プロキシ等)で行うことは可能ですか
対応バージョン: i-FILTER Ver.10
対応OS: すべてのOS

「接続元」を指定したIPアドレスリストと、グループ設定の[高度な設定]で
「グルーピング」を組み合わせて使用することで可能になります。

───────────────────────────────────────
※本FAQでは、用語を下記の定義に統一します。
 クライアントIPアドレス・・・X-Forwarded-Forヘッダーによって「i-FILTER」に
               通知される、クライアントPCのIPアドレス
 ソースIPアドレス・・・下位プロキシ等、「i-FILTER」の前段からリクエストを
            送信してくる機器のIPアドレス


※下位プロキシサーバーが存在する場合、
 「i-FILTER」が認識できるクライアントIPアドレスは下位プロキシサーバーの
 IPアドレスのみとなります。
 下位プロキシサーバーで「X-Forwarded-For」(以下XFF)のような、
 「上位プロキシにクライアントIPを伝えるヘッダー」を付与することにより、
 「i-FILTER」はクライアントIPを認識することが可能になります。
 XFFヘッダーについては下記FAQを参照してください。

  ▼「i-FILTER」 下位プロキシサーバーが配置されている場合の注意点
  https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3250
───────────────────────────────────────

XFFヘッダーによるクライアントIPアドレスの設定を適用しながら、
グルーピングには下位プロキシのIPアドレスを使用するための手順は
下記のとおりです。

【シナリオ】
下記のような構成を仮定し、
「下位プロキシA」配下のPCと「下位プロキシB」配下のPCが
別のグループに判定されるよう設定します。

下位プロキシA:10.0.0.1
 クライアントPCのIPアドレス:192.168.0.1
下位プロキシB:172.16.0.1
 クライアントPCのIPアドレス:192.168.0.1


【事前準備】
下位プロキシ側でXFFヘッダーを追加する設定をおこないます。


【設定手順】

1. XFFヘッダーで通知されたIPアドレスを「i-FILTER」の
  クライアントIPアドレスとして設定します。

  管理画面[システム / ヘッダーコントローラー]

  -----------------------------------------------------------
  タイプ           : 通信設定をHTTPリクエストヘッダーの値で変更する
  ルールパーツ: ※未選択
  通信設定      : IPアドレス
                       クライアントIPアドレス
  ヘッダー名    : X-Forwarded-For
  -----------------------------------------------------------

2. 接続元IPアドレスでのユーザーキャッシュを有効にします。

  管理画面[システム / システムパラメーター / 動作設定]の「ユーザーキャッシュ情報」で
 「接続元IPアドレス/拡張子」を「有効」に設定します。

3. [ルールセット / ルールパーツ / IPアドレスリスト]を開き、下位プロキシA、下位プロキシBを
  含むIPアドレスリストをそれぞれ作成します。

  ・ルールパーツ1(設定名:下位プロキシA)
  ---
   ディレクション:接続元(SRC_ORG)
   新規IPアドレス:10.0.0.1
  ---
  ・ルールパーツ2(設定名:下位プロキシB)
  ---
    ディレクション:接続元(SRC_ORG)
   新規IPアドレス:10.0.0.1
   ---

4. 下位プロキシA、下位プロキシBそれぞれのグループを作成します。
  この時、「ユーザー」にはクライアントIPアドレス(192.168.0.1)を登録しておきます。

5. 下位プロキシAのグループを開き、「高度な設定」に移動します。

6. 「グルーピング」を選択した状態で、下記の設定行を作成し保存します。

  -----------------------------------------------------------
  タイプ           : グルーピング
  ルールパーツ: IPアドレスリスト(接続元)
          「3.」で作成した”下位プロキシA”を追加
  -----------------------------------------------------------



7. 下位プロキシB用のグループについても、同様に設定します。

8. 以上で設定は完了です。
  意図通りグループ判定されることと、アクセスログに下記のように出力されている
  ことを確認してください。

 
8カラム目 接続元IPアドレス ※下位プロキシのIPアドレス
9カラム目 クライアントIPアドレス ※XFFヘッダー記載のIPアドレス



本FAQよりも詳細な設定手順を「設定ガイド」に記載していますので、そちらも参考に
してください。

▽マニュアル
「i-FILTER」Ver.10 設定ガイド
5-1-7 下位プロキシ別のグルーピング(接続元IPアドレス)


 
関連コンテンツ
「i-FILTER」X-Forwarded-Forヘッダーに複数のIPアドレスが...
「i-FILTER」 下位プロキシサーバーが配置されている場合、認証機能で注意す...
「i-FILTER」上位プロキシへクライアント端末のIPアドレス情報を伝えること...
「i-FILTER」認証ユーザー名と接続元IPアドレスなど、条件を組み合わせてグ...
「i-FILTER」グループへの登録で「認証ユーザー参照」を使ってセキュリティグ...
 

感動しました
解決しました
参考になりました
もっと詳しく
わかりにくい
問い合わせます