目的
IBMCloud InternetServicesを活用して、CISを経由したWebサーバへのロードバランスを試す。
今回は、IPアドレスやユーザエージェントを判断した上でFWが機能するか動作確認をする。
CISは30日間無料でお試しできるので是非やってみましょう
六部に分けて記載する予定です。
- 初期導入編:IBM Cloud CISの動作確認(1) -初期導入編-
- 証明書設定編:IBM Cloud CISの動作確認(2) -証明書編-
- 動作確認編:IBM Cloud CISの動作確認(3) -動作確認編-
- GLB編:IBM Cloud CISの動作確認(4) -GLB編-
- cache編:IBM Cloud CISの動作確認(5) -cache編-
- Security編:(本ページ)
環境
- ローカル端末:macOS Catalina 10.15.6 1台
- プラットフォーム:IBMCloud
- CDNサービス:IBM Cloud Internet Services 1サービス(Freeプラン)
- ロードバランシングサービス:IBM Cloud Load Balancer 1サービス(Public to Private)
- TOK04サーバ:CentOS 7.7.1908(Virtual Server for Classic) 2台
- TOK05サーバ:CentOS 7.7.1908(Virtual Server for Classic) 1台
概要構成図
TOK05/TOK04
ローカル端末での作業
IPアドレス制御
IBM Cloudポータルでの作業
ブロック
IPアドレスで一致したアドレスからの通信をブロックする。
国別コードでの制御はフリープランだと出来ない模様。
ブロックしたいIPアドレスを入力、適用先をこのドメイン、アクションをブロックし、作成を選択。
設定後、ブラウザからアクセスするとError1006となり、明示的にブロックされていることがわかる。
curlで見ると、HTTP403(Forbidden)で見えた。
% curl -I https://glb.m365.work/
HTTP/2 403
チャレンジ
IPルールの作成にて、アクションチャレンジを選択する。
チャレンジに変更後URLへアクセスすると、よくある画面へ
私は人間ですを選択する
続けて、指定された画像(今回は飛行機)を選択して、チェックを選択する。
問題なければ正常にコンテンツで表示された。
ユーザーエージェント制御
ユーザーエージェント、例えばクライアントOSや利用ブラウザ等で制御できる。
今回はMacOSX10.15のユーザをブロックしてみた。
ユーザエージェントの確認方法はこちらを参照:IPアドレス、ユーザーエージェントの確認
セキュリティー -> ファイアウォール・ルール -> 作成を選択する。
ユーザーエージェントに「Macintosh; Intel Mac OS X 10_15_6」を含む場合のアクションをブロックとする。
ブラウザからアクセス確認
Error1020にて明示的に拒否されている。
参考:Cloudflare 1XX エラーのトラブルシューティング
