セカンダリ構成要素を使用して、プライマリ構成要素に従って定義されている大きい範囲の(両端ではなく)真ん中に存在する範囲のIPアドレスに対して例外を指定して、拒否アドレスのリストを切り出すこともできます。このアプローチでは、部分セグメント マスキングも使用する必要があります。
- 以下のdeny構成要素を使用して、(例: セカンダリ構成要素の処理 — アドレスの範囲の例外に示すIPアドレス192~255の代わりに)IPアドレス48~63へのアクセスを拒否することができます。
<deny ip=”141.206.35.48/28”/>
このdeny構成要素は、以下のバイナリIPとマスクに相当します。
10001101.11001110.00100011.00110000 (141.206.35.48) 11111111.11111110.11111111.11110000 (255.255.255.240 or /28"/>) _____________________________________________________________________10001101.11001110.00100011.00110000 (141.206.35.48)
- IPとマスクのAND付けの結果(太字)は、4番目のセグメントの最初の4ビットのみが141.206.35サブネット内で拒否の対象と見なされることを示します。 これらのビットは、拒否するアドレスと完全に一致する必要があります。 deny構成要素には以下の効果があります。
- 141.206.35.64~141.206.35.255の全アドレスは先頭2ビットのうち1つまたは両方が値1であるため、denyマスクと一致せず、したがって拒否されません。
- 141.206.35.1から141.206.35.47までのアドレスの3番目または4番目のビットは値0で、これも拒否されません。
- 141.206.35.48から141.206.35.63までのすべてのアドレスの最初の4つのビットは0011で、これは拒否されます。制限ではマスクをバイナリ表記の左から右へ処理するため、例えば141.206.35.51~141.206.35.62など、切り出し型のマスクを持つ一部のアドレスを分離することはできません。切り出し例外は常にIPフィルタのマスク値が含まれているすべてのアドレスに影響を及ぼします。