セカンダリ構成要素は、プライマリ構成要素によって定義されたより大きな範囲内に含まれるIPアドレスの範囲に対する例外を指定することもできます。
- 単一のIPアドレスの例外とするのではなく、以下のdeny要素を使用すれば企業内の複数のコンピュータ(例えば、ワークステーション141.206.35.192〜141.206.35.255)のIPアドレスへのアクセスを拒否することができます。
<deny ip=“141.206.35.255/
deny構成要素は、以下のバイナリ数に相当します。
10001101.11001110.00100011.11111111
deny IPの最後のセグメントの255はオプションです。 以下に箇条書きで示されているマスク構成に基づいて、192~255の任意の数値を使用すれば同じ結果を得ることができます。
- 以下のマスクを使用することによって、フィルタは、141.206.35.192から141.206.35.255までのIPアドレスを持つすべてのワークステーションへのアクセスを強制的に拒否します。
255.255.255.192”/>
このマスク形式は、4番目のセグメントの最後の2ビットだけが有意であることを示します。 deny IPとマスクのバイナリ値をAND付けすることに従って、deny IPの第4セグメントにこのような広範囲のアドレスを指定できる理由がわかります。
Deny IP 10001101.11001110.00100011.11111111 Mask 11111111.11111111.11111111.11000000 ____________________________________________ Result 10001101.11001110.00100011.11000000
このマスクは、/26”>に相当し、受信IPアドレスの最初の26ビット(結果の太字)が、受信IPアドレスを拒否するためにアクセスするマスクされたdeny IPに一致する必要があることを示します。 141.206.35.192から141.206.35.255までのすべてのIPアドレスは、太字に一致します。 141.206.35.1~141.206.35.191のIPアドレスは、ビット25または26(またはその両方)の値が0であり、26個の有意なバイナリ値のすべてに一致しないため、拒否されません。
制限プロセスでは、allowまたはdenyのいずれかのセカンダリ要素の範囲が、左から右、つまり高位から低位のバイナリ文字列に適用されます。左に行くほどマスクのゼロが伸び、セカンダリ拒否がより制限的になります。 例えば、3番目のセグメントの部分的なマスクは、影響を受けるアドレスの範囲を大幅に増加させます。