ファイアウォールとセキュリティ設定
Zeabur はサーバーレベルのファイアウォール管理を提供しており、SSH でサーバーに入って iptables を手動で管理することなく、Dashboard からインバウンドルールを直接設定できます。
概要
各専用サーバーには独自のファイアウォール設定があります。デフォルトでは、Zeabur はサービスの運用に必要なポート(80 や 443 など)を開放し、その他の不正なインバウンド接続をすべてブロックします。
ファイアウォールルールはインバウンドトラフィックのみを制御します。サービスからのアウトバウンド接続はファイアウォールによって制限されません。
ファイアウォールルールの設定
- Zeabur サーバーページに移動し、専用サーバーを選択します。
- 左ナビゲーションの「ファイアウォール」タブをクリックします。
- 「ルールを追加」ボタンをクリックしてインバウンドルールを作成します。
各ルールには以下のフィールドが必要です:
| フィールド | 説明 |
|---|---|
| プロトコル | TCP または UDP |
| ポート範囲 | 単一ポート(例:8080)または範囲(例:3000-3100) |
| ソース IP | 許可するソース IP アドレスまたは CIDR ブロック(例:203.0.113.0/24)。空欄にするとすべてのソースを許可します |
完了したら「保存」をクリックします。ルールは数秒以内に有効になります。
IP の許可リストとブロックリスト
- 許可リストモード: 特定のポートへのアクセスを特定の IP に制限するには、ルール作成時にソース IP を指定するだけです。
- ブロックリストモード: Zeabur のファイアウォールは許可リスト方式(デフォルト拒否)を使用します。ルールで明示的に開放されていないポートとソースはブロックされるため、別途ブロックリストの設定は不要です。
一般的なシナリオ
オフィスの IP のみに管理パネルへのアクセスを許可
| プロトコル | ポート | ソース IP |
|---|---|---|
| TCP | 8443 | 203.0.113.10 |
特定のサブネットにデータベースポートを開放
| プロトコル | ポート | ソース IP |
|---|---|---|
| TCP | 5432 | 10.0.0.0/16 |
必須ポート
以下のポートは Zeabur が正常に動作するために必要です。ブロックしないでください:
| ポート | 用途 |
|---|---|
| 22 | SSH 管理 |
| 80 | HTTP トラフィック |
| 443 | HTTPS トラフィック |
| 4222 | NATS 内部通信 |
| 6443 | K3s API Server |
| 30000–32767 | Kubernetes NodePort 範囲 |
⚠️
これらのポートをブロックすると、Zeabur がサーバーを管理できなくなったり、サービスにアクセスできなくなる可能性があります。
セキュリティのベストプラクティス
- 最小権限の原則 — 実際に必要なポートとソース IP のみを開放してください。機密性の高いサービスには
0.0.0.0/0(すべて許可)の使用を避けてください。 - ルールを定期的に監査 — ファイアウォールルールを定期的に確認し、不要になったポートを削除してください。
- プライベートネットワーキングを使用 — サービス間通信にはプライベートネットワーキングを使用して、パブリックインターネットでの機密データの送信を避けてください。
- SSH を安全に保つ — パスワードの代わりに SSH キー認証を使用し、SSH アクセスを特定の IP に制限することを検討してください。