サブドメインが 2 つあるがありますCloudflare Tunnel。そのうちの 1 つを公開し、ソースが自分の IP でない場合はもう 1 つをブロックする必要があります。SNI Domain is admin.example.com(他の IP に対してブロックする必要があるサブドメイン)のSource IP is not <my ip>場合、 というネットワーク ポリシーを作成しました。Blockこれは のSource IP部分には有効ですが、他の IP に対しても他のサブドメインをブロックしているため、 はSNI Domain is admin.example.com必要な動作を行っていません。これを機能させるには、何を変更する必要がありますか?
答え1
提供された情報に基づくと、Cloudflare Tunnel で作成したネットワーク ポリシーに問題があるようです。説明されているポリシーでは、送信元 IP が自分の IP でない場合は admin.example.com サブドメインへのトラフィックがブロックされますが、送信元 IP が自分の IP でない場合は他のサブドメインへのトラフィックもブロックされます。これは、ポリシーが、送信先のサブドメインに関係なく、すべてのトラフィックに適用されているためと考えられます。
この問題を解決するには、ネットワーク ポリシーを更新して、admin.example.com サブドメインに送信されるトラフィックにのみ適用する必要があります。これは、受信トラフィックのサブドメインに一致する条件をポリシーに追加することで実行できます。たとえば、SNI ドメイン条件を使用して、admin.example.com サブドメインに送信されるトラフィックを一致させることができます。
更新されたネットワーク ポリシーの例を次に示します。
if SNI Domain is admin.example.com and Source IP is not <my ip> then Block
この更新されたポリシーは、admin.example.com サブドメインに送信されるトラフィックにのみ適用され、自分の IP 以外のソース IP からのトラフィックはブロックされます。これにより、他の IP からの admin.example.com サブドメインへのアクセスはブロックされたまま、他のサブドメインには任意のソース IP からアクセスできるようになります。
また、アクセスをブロックするサブドメインが複数ある場合は、SNI ドメイン条件を使用して複数のサブドメインを一度に一致させることができることにも注意してください。たとえば、admin.example.com と secure.example.com の両方のサブドメインへのアクセスをブロックするには、次のような条件を使用できます。
if SNI Domain is admin.example.com or SNI Domain is secure.example.com and Source IP is not <my ip> then Block
これにより、ソース IP が自分の IP でない場合は両方のサブドメインへのアクセスがブロックされ、他のサブドメインへのアクセスは許可されます。必要に応じて、ネットワーク ポリシーの条件を調整して、特定の要件に合わせることができます。
答え2
結局、ポリシーに間違った領域を使用していたことが判明しました。 の代わりにGateway -> Policies -> Network Policy、管理サブドメイン用のアプリケーション ( Access -> Applications -> Add an Application) を作成する必要がありました。その後、そのアプリケーションを使用して IP 範囲を制限できます。