我在前面使用AWS VPC 和ELB。据我了解,只有Network Access Control List (ACL) 可以通过IP 进行入站阻止。但是问题又来了:
再次安全组不能做“阻止”。所以我现在要做的是,通过 Apache 虚拟主机阻止某些 IP(处理 x-forwarded-for ips),这不是干净的方法。
那么请问这个问题的正确做法是什么?
【问题讨论】:
标签: amazon-web-services firewall amazon-elb amazon-vpc
您可以设置Network ACLs rules
与只能由肯定(接受)规则定义的安全组不同,NACL 可以由否定(丢弃)规则定义。你可以查看comparison between security group and NACLs
【讨论】:
建议很少,尽管它们都不依赖于现有的 AWS 服务。
在您的 ELB 后面部署一个 NGINX Plus 实例集群。使用 NGINX 的 Real IP module 检查 X-Forwarded-For 标头。在您的 nginx.conf 中使用模式匹配和设置变量来阻止某些公共 IP 地址。 (以下未测试。)
设置 $accept 为真;
如果 ($http_x_forward_for ~ " ?89.44.27.101$") {
设置 $accept 为假;
}
如果 ($accept = false) {
返回403;
}
通过现有数据中心(如果有)中的防火墙路由和检查 Internet 流量,并使用 VPN 或 Direct Connect 将其与您的 EC2 队列对等。
【讨论】: