将 NACL 限制在 vpc 的 cidr 范围内

【问题标题】:Restrict the NACL to the cidr range of the vpc将 NACL 限制在 vpc 的 cidr 范围内
【发布时间】:2020-08-15 11:33:04
【问题描述】:

我是 terraform 的新手,并且正在阅读更多内容以了解它。我正在阅读该部分 [资源:aws_default_network_acl] (https://www.terraform.io/docs/providers/aws/r/default_network_acl.html) 我遇到了这个例子;

resource "aws_default_network_acl" "default" {
  default_network_acl_id = aws_vpc.mainvpc.default_network_acl_id

  ingress {
    protocol   = -1
    rule_no    = 100
    action     = "allow"
    cidr_block = aws_vpc.mainvpc.cidr_block
    from_port  = 0
    to_port    = 0
  }
}

我想知道的是,为什么要将入口规则限制在 vpc 的 cidr 范围内? 这是否意味着您的 IP 地址必须在 cidr 块范围内才能访问 vpc。 我的IP地址:10.19.178.104。 VPC cidr 块:10.19.178.100/24。 我是否正确地说,由于我的 ip 地址在给定的 cidr 范围内,NACL 将接受来自我的 ip 的流量?

【问题讨论】:

  • 你想达到什么目的? NACL 很棘手,因为它们是无状态的。修改入口通常意味着您还必须调整出口规则。对于大多数用例,使用默认 NACL 就足够了。您可以使用有状态的安全组来控制 IP 范围。
  • "我的 ip 地址:10.19.178.104..." 您的 IP 地址不是也不能是 10.19.178.104,并且 10.19.178.100/24 不是有效的 CIDR块,所以不清楚你打算用这些断言建立什么场景。
  • IP 地址是假的。我这样做只是为了举一个例子,这就是我的原因。我的用例是将 ips 范围从 0.0.0.0/0 限制在 Internet 网关通常路由到我自己的 ip 地址的地方,但有些人建议我最好使用 nacl 来限制 ip 地址的范围,所以您只能接受来自您公司 IP 范围的流量。

标签: amazon-web-services terraform amazon-vpc terraform-provider-aws


【解决方案1】:

某些业务模型不需要出站互联网访问,因此将 NACL 限制为仅允许入站/出站受信任的 CIDR 范围将有助于满足这些要求。

NACL 在子网级别绑定,因此私有子网可能完全被限制为仅与 VPC 内的资源进行通信。

这只是一个规则,假设他们没有数字低于 100 的规则会拒绝特定流量,那么您的 IP 将被允许是正确的。

【讨论】:

    猜你喜欢
    • 2020-10-28
    • 1970-01-01
    • 2023-04-05
    • 1970-01-01
    • 2023-04-03
    • 2021-10-04
    • 1970-01-01
    • 1970-01-01
    • 2018-05-05
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode