CloudflareでIP制限ルールを追加する手順書

概要

本書は、Cloudflare WAFを使用してeligibility-verification.fstdr.jpへのアクセスをRetool SaaS、FDsystem NAT Gateway、およびFD Platform tokyo NAT Gateway経由のアクセスのみに制限する手順を記載します。

背景・目的

• 目的: eligibility-verification.fstdr.jpへの不正アクセスを防止し、セキュリティを強化する
• 制限内容: Retool SaaS、FDsystem NAT Gateway、およびFD Platform tokyo NAT Gateway経由のアクセスのみを許可
• 実施タイミング: 週末以外の業務時間内(関係者と要調整)
• 影響範囲: eligibility-verification.fstdr.jpへのアクセス（Retool、fd-sys、fd-platformのみからのアクセスを想定）

対象環境

• ドメイン: eligibility-verification.fstdr.jp
• CloudflareダッシュボードURL: https://dash.cloudflare.com/297a0a12d275ac0fc81f2142889ebb73/

前提条件

必要な権限・アクセス

• [ ] Cloudflareアカウントの管理者権限
• [ ] Cloudflareゾーンfstdr.jpへのアクセス権限
• [ ] AWS CloudWatchへの読み取り権限（ALB確認用）
• [ ] Slackの#squad-platform-sreチャンネルへのアクセス権限

必要なツール

• [ ] ブラウザ（Cloudflareダッシュボードアクセス用）
• [ ] AWSコンソールアクセス（CloudWatch確認用）
• [ ] Slack（アナウンス・連絡用）

注意事項

• 作業は 週末以外 に実施すること
• 作業前後でALBのリクエスト数を確認し、影響がないことを確認すること
• 問題が発生した場合は速やかにルールを削除し、関係者に連絡すること

作業時間見積もり

• 作業時間: 約20分
• 確認時間: 約10分

許可するIPアドレス一覧

Retool SaaS IP（retool_saas_ip）

IPアドレス/CIDR	リージョン	備考
3.77.79.248/30	eu-central-1	Retool SaaS
35.90.103.132/30	us-west-2	Retool SaaS
44.208.168.68/30	us-east-1	Retool SaaS

FDsystem NAT Gateway IP（fd_sys_nat_ip_prod）

IPアドレス	識別名	備考
52.196.60.173	fd-sys-nat-c	NAT Gateway tokyo
57.180.134.51	fd-sys-nat-a	NAT Gateway tokyo
54.157.107.210	fd-system-prd	NAT Gateway Virginia

FD Platform NAT Gateway IP（fd_platform_nat_ip_prod）

IPアドレス	識別名	備考
3.113.154.169	fd-platform-nat-a	NAT Gateway tokyo
18.178.147.64	fd-platform-nat-c	NAT Gateway tokyo

作業手順

1. 事前準備・アナウンス

1.1 関係者へのアナウンス

1. #squad-platform-sre チャンネルに@on_pf_sqにメンションして作業開始をアナウンス

【作業開始】CloudflareでIP制限ルール追加作業を開始します

- 対象: eligibility-verification.fstdr.jp
- 内容: Retool SaaS、fd-sys NAT、fd-platform tokyo NAT経由のアクセスのみ許可
- 作業時間: XX:XX〜XX:XX（予定）
- 影響: 上記以外のIPからのアクセスがブロックされます

問題が発生した場合は @fdt-sre-dev までご連絡ください。

1.2 事前確認

1. CloudWatchでALBのリクエスト数を確認
   • AWSコンソールにログイン
   • CloudWatch → メトリクス → Application Load Balancer
   • eligibility-verification関連のALBの現在のリクエスト数を確認

2. CloudflareでIPリスト確認・作成

2.1 retool_saas_ipリストの確認

注意: このリストは検証時に作成済みで、Retool SaaSからの疎通も確認済みです。

1. Cloudflareダッシュボードにアクセス

   • URL: https://dash.cloudflare.com/297a0a12d275ac0fc81f2142889ebb73/
   • ログイン

2. IPリスト画面へ移動

   • 左メニューから「アカウントの管理」→「構成」→「リスト」を選択

3. retool_saas_ipリストの存在確認

   • リスト一覧から retool_saas_ip が存在することを確認

2.2 fd_sys_nat_ipリストの作成

1. IPリスト作成画面へ移動

   • Lists画面で「Create new list」をクリック

2. fd_sys_nat_ipリスト作成

   • List name: fd_sys_nat_ip_prod
   • Description: FDsystem NAT Gateway IP addresses Production
   • List type: IP
   • 「Create」をクリック

3. IPアドレスを追加

   • 対象リストの「編集」をクリック
   • 以下のIPアドレスを追加（1行ずつ）:

     IP, Description
     52.196.60.173/32, fd-sys-nat-c tokyo
     57.180.134.51/32, fd-sys-nat-a tokyo
     54.157.107.210/32, fd-system-prd virginia

   • 「リストに追加」をクリック

4. 確認

   • リストに3つのIPアドレスが登録されていることを確認

2.3 fd_platform_nat_ip_prodリストの作成

1. IPリスト作成画面へ移動

   • Lists画面で「リストを作成」をクリック

2. fd_platform_nat_ip_prodリスト作成

   • List name: fd_platform_nat_ip_prod
   • Description: FD Platform NAT Gateway IP addresses Production
   • List type: IP
   • 「作成」をクリック

3. IPアドレスを追加

   • 対象リストの「編集」をクリック
   • 以下のIPアドレスを追加（1行ずつ）:

     IP, Description
     3.113.154.169/32, fd-platform-nat-a tokyo
     18.178.147.64/32, fd-platform-nat-c tokyo

   • 「リストに追加」をクリック

4. 確認

   • リストに2つのIPアドレスが登録されていることを確認

3. WAFカスタムルールの作成

3.1 WAF画面へ移動

1. Cloudflareダッシュボードのトップに戻る

   • 左上のCloudflareロゴをクリック

2. fstdr.jpゾーンを選択

   • アカウント配下のゾーン一覧から「fstdr.jp」を選択

3. 新規ルール作成

   • 左メニューから「セキュリティ」→「セキュリティルール」→「ルールを作成」を選択
   • 「カスタムルール」をクリック

4. ルール名と説明を入力

   • Rule name: eligibility-verification-waf
   • Description: Allow access to eligibility-verification.fstdr.jp

5. カスタム ルールを設定

   「受信リクエストが一致する場合...」セクションで以下を設定：

   条件1: ホスト名の一致

   • フィールド: ホスト名 を選択
   • オペレーター: 次と等しい を選択
   • 値: eligibility-verification.fstdr.jp を入力
   • 右側の AND ボタンをクリック

   条件2: Retool SaaS IPを除外

   • フィールド: 送信元の IP アドレス を選択
   • オペレーター: リストに含まれない を選択
   • 値: retool_saas_ip を選択（ドロップダウンから選択）
   • 「3レコード」と表示されることを確認
   • 右側の AND ボタンをクリック

   条件3: FDsystem NAT IPを除外

   • フィールド: 送信元の IP アドレス を選択
   • オペレーター: リストに含まれない を選択
   • 値: fd_sys_nat_ip_prod を選択（ドロップダウンから選択）
   • 「3レコード」と表示されることを確認
   • 右側の AND ボタンをクリック

   条件4: FD Platform NAT IPを除外

   • フィールド: 送信元の IP アドレス を選択
   • オペレーター: リストに含まれない を選択
   • 値: fd_platform_nat_ip_prod を選択（ドロップダウンから選択）
   • 「2レコード」と表示されることを確認

6. 式のプレビューを確認

   • 「式のプレビュー」で式が正しく評価されることを確認

     (http.host eq "eligibility-verification.fstdr.jp" and not ip.src in $retool_saas_ip and not ip.src in $fd_sys_nat_ip_prod and not ip.src in $fd_platform_nat_ip_prod)

7. アクションを設定

   • ブロックを選択
   • カスタムテキストで403 Forbiddenを追加

8. 順序の選択

   • 最初を選択

9. ルールを保存

   • 「保存」をクリック

10. 確認

• Custom rulesリストに作成したルールが表示されていることを確認
• ルールのステータスが「Enabled」になっていることを確認

4. 動作確認

4.1 Retoolからの疎通確認

1. Retool疎通確認
   • retool_saas_ipのIPリスト作成時にretool saasから疎通できることを確認済み

4.2 CloudWatchの確認

1. ALBメトリクスを確認

   • AWSコンソールにログイン
   • CloudWatch → メトリクス → Application Load Balancer
   • eligibility-verification関連のALBの現在のリクエストを確認

2. 確認項目

   • リクエストが来ていることを確認

4.3 Cloudflare Analyticsの確認

1. CloudflareのAnalytics画面を確認

   • Cloudflareダッシュボード → fstdr.jpゾーン → Security → Analytics
   • 「トラフィック」タブでホストをeligibility-verification.fstdr.jpでフィルタ
   • 新しく作成したルールのアクセス状況を確認
   • 「イベント」タブでホストをeligibility-verification.fstdr.jpでフィルタ
   • 新しく作成したルールのブロック状況を確認

2. 確認項目

   • Retool/fd-sys/fd-platformからのIPがブロックされていないか確認
   • Retool/fd-sys/fd-platformからのアクセスが許可されているか確認

5. 作業完了アナウンス

5.1 完了報告

#squad-platform-sre チャンネルに作業完了をアナウンス

【作業完了】CloudflareでIP制限ルール追加作業が完了しました

- 対象: eligibility-verification.fstdr.jp
- 内容: Retool SaaS、fd-sys NAT、fd-platform NAT経由のアクセスのみ許可
- 作業時間: XX:XX〜XX:XX
- 結果: ✅ 正常に完了

## 確認結果
- Retoolからの疎通確認: OK
- ALBリクエスト数: 正常範囲内
- WAFルール: 正常動作中

何か問題がありましたら @fdt-sre-dev までご連絡ください。

ロールバック手順

問題が発生した場合は、以下の手順でロールバックを実施します。

1. WAFカスタムルールの削除

1. Cloudflareダッシュボードにアクセス

   • fstdr.jpゾーン → Security → WAF → Custom rules

2. 作成したルールを削除

   • eligibility-verification-waf ルールの右側の「...」メニューをクリック
   • 「Delete」を選択
   • 確認ダイアログで「Delete」をクリック

3. ルール削除の確認

   • Custom rulesリストから削除されたことを確認

3. 関係者への連絡

#squad-platform-sre チャンネルにロールバック完了をアナウンス

【ロールバック完了】CloudflareのIP制限ルールを削除しました

- 理由: [問題の内容を記載]
- 対応時刻: XX:XX
- 現状: eligibility-verification.fstdr.jpへのアクセス制限が解除されました

引き続き調査を行います。
@fdt-sre-dev

参考情報

Cloudflare関連ドキュメント

• Cloudflare WAF Custom Rules
• Cloudflare IP Lists
• Cloudflare Rules language

Retool SaaS IP情報

• Retool Network Setup

今後の予定

CloudflareのIPフィルタのTerraform化

概要: 本手順書で記載した手動設定作業を、Terraformで自動化・コード管理することを検討しています。

対応チケット:

• SRE-1877: CloudflareのIPフィルタのTerraform化設計

目的:

• インフラのコード管理（IaC）による設定の可視化
• 手動作業の削減とヒューマンエラーの防止
• 変更履歴の管理とレビュープロセスの確立
• 環境間での設定の一貫性確保

期待される成果物:

• CloudflareプロバイダーのTerraform設定ファイル
• IPリスト管理のTerraformモジュール
• WAFカスタムルール管理のTerraformモジュール
• Terraform運用手順書

改版履歴

バージョン	日付	変更内容	作成者	作成チーム
1.0	2025-01-30	初版作成	大賀	SREチーム
1.1	2026-02-03	fd_platform_nat_ip_prodリスト追加	大賀	SREチーム