- ベストアンサー
IISのアクセス制限について
教えてください。IIS5.0で特定のドメインからしかアクセス出来ないように設定を施しました。しかし、実際そのドメインからアクセスしようとすると、「エラー403.6」当該IPにはアクセス権限がありません、というエラーが出てしまいます。IISでは「既定のWEBサイトのプロパティ」の「ディレトクリセキュリティ」で、「拒否する」を選択して、特定のドメイン名「*.xxx.xxx」を追加しただけです。これ以外に何か設定する項目はあるのでしょうか。宜しくお願い致します。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
話はDNSにそれてしまいますが... #3補足より ※aaa.co.jp は実在するので、リザーブのexample.jpに変更しました |> aaaaaaa.example.jp |Server: aaaaaaa.example.jp |Address: aaa.aa.aaa.aaa |Aliases: aaa.aa.aaa.aaa.in-addr.arpa | |DNS request timed out. |timeout was 2 seconds. |DNS request timed out. |timeout was 2 seconds. |*** Request to aaaaaaa.example.jp timed-out | ん? そもそも引けていないですね。 aaaaaaa.example.jpでDNSサービスは起動していますか? 逆引き設定以前かもしれませんね。
その他の回答 (3)
#2補足より >nslookupで該当するIPを照会しますと、紐つくNAME、ADDRESSと併せて >Aliasesが表示されます。 > 逆引きのAliasesというと、xx.xx.xx.xx.in-addr.arpa. といった感じのやつでしょうか? (CIDRでよく見られる逆引きの方法ですね) IISが逆引き時にこのAliases(CNAME)を参照するのか、元のNameを参照するのかですが、 今環境が無いので何とも言えません。 仮にAliases(CNAME)を参照した場合は、xx.xx.xx.xx.in-addr.arpa.といったドメイン名にあわせて 制限設定をしなくてはいけなくなります。 IPアドレス範囲が決められていればある程度は対応できますが、 ちょっと厳しいかもしれませんね。 パフォーマンスや確実性を含め、そういった意味でもドメイン名での制限というのは あまり運用では行わないのかもしれませんね。 サーバでなければ逆引き設定なんて意識しないでしょうし。(たまたまプロバイダが対応しているだけ)
#1補足より >「ドメインはIIS側で逆引きできていますでしょうか? 」はどうすれば分かりますでしょうか。 > DNSの設定になります。 指定しているDNSサーバ上で、目的のIPアドレスのPTRレコードを作る必要があります。 「*.xxx.xxx」ドメインがgkei_bunさんの管理するドメイン範囲であれば、 gkei_bunさん側で対応する必要があります。 ただ、DNSサーバが動的更新可能であれば、自動的に作られている可能性もあるので 「nslookup 目的のIPアドレス」で結果が返ってくるかを確認してみてください。 "Non-existent domain"など期待した結果が返ってこない場合は、 DNSサーバに「*.xxx.xxx」これ全ての登録する必要があります。 あと試してないですが、サーバのhostsにその「*.xxx.xxx」全てを登録しておく これでいけるかもしれません。 「*.xxx.xxx」が自分のドメイン外であれば相手の設定になってくるので 通常運用では難しいかもしれません。 ただ、これも前述同様hosts記載でうまくいくと思われます。
補足
度々の助言、有難うございます。 少し視点がズレるかもしれませんが、nslookupで該当するIPを照会しますと、紐つくNAME、ADDRESSと併せてAliasesが表示されます。 この場合IISでの制限はどのようにすれば良いのでしょうか。度重なる質問宜しくお願い致します。
ドメインでの制限は逆引きできるのが条件ですが、 そのドメインはIIS側で逆引きできていますでしょうか? 例えばIISのログに記載されてたIPアドレスで、 nslookup xx.xx.xx.xx してみるとか。 #hostsに記載していればDNS問い合わせが出来なくてもたぶん大丈夫かとは思います。
補足
kanop_98様 ご返答有難うございます。 頂きましたご回答の中で1つお尋ねします。 「ドメインはIIS側で逆引きできていますでしょうか? 」はどうすれば分かりますでしょうか。 素人的な質問で申し訳ございません。 宜しくお願い致します。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
補足
なるほど。 因みに、nslookupコマンドで、当該ドメインに対して検索をかけると、以下のようになってしまいます。 > server aaa.aa.aaa.aaa Default Server: aaaaaaa.aaa.co.jp Address: aaa.aa.aaa.aaa Aliases: aaa.aa.aaa.aaa.in-addr.arpa > aaaaaaa.aaa.co.jp Server: aaaaaaa.aaa.co.jp Address: aaa.aa.aaa.aaa Aliases: aaa.aa.aaa.aaa.in-addr.arpa DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Request to aaaaaaa.aaa.co.jp timed-out これはやはり自分のDNSに逆引き設定を施す必要があるのでしょうか。 宜しくお願い致します。