আমি জানি আইপি অ্যাড্রেসগুলির একটি নির্দিষ্ট পরিসীমা আমার সার্ভারে সমস্যা সৃষ্টি করছে, 172.64.*.*আমার অ্যামাজন ইসি 2 উদাহরণটিতে অ্যাক্সেস ব্লক করার সর্বোত্তম উপায় কী? সুরক্ষা গোষ্ঠীগুলি ব্যবহার করে এটি করার কোনও উপায় আছে বা সার্ভারে ফায়ারওয়াল দিয়ে এটি করা ভাল?
উত্তর:
যদি সম্ভব হয় তবে সার্ভার এবং ফায়ারওয়াল উভয় ক্ষেত্রেই ট্র্যাফিক অবরোধ করুন।
সুরক্ষা গোষ্ঠীগুলি ভাল কারণ তারা আপনার হোস্টের বাহ্যিক তাই ডেটা কখনও আপনার কাছে পৌঁছায় না। যদিও এটি বেশিরভাগ সার্ভার ভিত্তিক ফায়ারওয়ালগুলির মতো কনফিগারযোগ্য নয়।
দুর্ভাগ্যক্রমে, ইসি 2 সুরক্ষা গোষ্ঠীগুলি একটি ডিফল্ট অস্বীকার নীতি মাধ্যমে কেবল পরিষেবাগুলিকে "অনুমতি" দিতে পারে। সুতরাং আপনি যদি একটি ছোট আইপি রেঞ্জের জন্য সর্বজনীন "অনুমোদিত" পরিষেবাটিতে অ্যাক্সেস আটকাতে চাইছেন, তবে "বাকি ইন্টারনেট" এর জন্য অনুমতি বিধি তৈরি করা কেবলমাত্র একটি আইপি পরিসীমা অবরুদ্ধ করার চেয়ে কিছুটা জটিল। আপনি যেমন একটি দুর্দান্ত বড় অংশ উল্লেখ করেছেন, 172.64.0.0/16 সহ নেটওয়ার্ক রেঞ্জের তালিকা খুব দীর্ঘ নয়:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
এই তালিকাটি আপনার পোর্ট (গুলি) এর জন্য যুক্ত করা দরকার। তারপরে আপনি সেই বন্দরের জন্য আপনার 'সমস্ত অনুমতি দিন' নিয়ম মুছতে পারেন। আপনার যদি একাধিক পোর্ট থাকে তবে এটির জন্য এটি করতে চান এটি সংগত নয়, তাদের তালিকায় একাধিকবার যেতে হবে। আপনার যদি একাধিক সুরক্ষা গোষ্ঠী থাকে তবে এটি দ্রুত নিয়ন্ত্রণহীন হয়ে উঠতে পারে।
স্থানীয়ভাবে ফায়ারওয়ালিংও কাজ করবে। iptablesডিফল্ট অ্যামাজন এএমআই এবং সমস্ত লিনাক্স ডিস্ট্রোতে উপলব্ধ
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
আপনার বিধিগুলি যুক্ত করার পরে আপনাকে সেগুলি সংরক্ষণ করতে হবে এবং iptablesপরিষেবাটি বুট-এ শুরু হবে তা নিশ্চিত করুন ।
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
সংরক্ষণের জন্য কনফিগার ফাইলটি বিতরণের সাথে পৃথক হবে।
যদি আপনি আপনার উদাহরণগুলির জন্য একটি ভিপিসি ব্যবহার করেন তবে আপনি "নেটওয়ার্ক এসিএলএস" নির্দিষ্ট করতে পারেন যা আপনার সাবনেটে কাজ করে। নেটওয়ার্ক এসিএলগুলি আপনাকে নিয়মকে অনুমতি এবং অস্বীকার উভয়ই লেখার অনুমতি দেয় তাই আমি এটি এইভাবে করার পরামর্শ দিই।
iptablesকাজ করছে না তা দেখতে পাচ্ছি না আপনি কি সুরক্ষা গোষ্ঠীতে থাকা বৃহত সাবনেটের অনুমতি দিচ্ছেন?
যান চলাচল বন্ধ করার সহজ উপায় হ'ল (ধরুন ভিপিসি ব্যবহার করা হচ্ছে) এটিকে উদাহরণের ভিপিসি নেটওয়ার্ক এসিএলে যুক্ত করে এবং সেই আইপি ঠিকানা থেকে সমস্ত ট্র্যাফিক অস্বীকার করে।
একটি জিনিস মনে রাখতে হবে, অস্বীকার করার নিয়ম সংখ্যাটি প্রথম অনুমতি নিয়মের সংখ্যার চেয়ে কম হওয়া উচিত।
আমি দু'বার একটি ইস্যুতে চালিত হয়েছি এবং বুঝতে পেরেছি আমার ইসি 2 পরিস্থিতিটি একটু আলাদা: iptablesআপনার সার্ভার (গুলি) কোনও স্থিতিস্থাপক লোড ব্যালেন্সার (ইএলবি) এর পিছনে একটি ক্লাস্টারে থাকলে কাজ করবে না - আইপি ঠিকানাটি উদাহরণটি জানায় এটি হ'ল ELB।
যদি আপনার ELB আরও আধুনিক কনফিগারেশনে কনফিগার করা থাকে তবে এই এসও উত্তরটি দেখুন: https://stackoverflow.com/questions/20123308/how-to-configure-aws-elb-to- block-certain-ip-addresses- জ্ঞান -spammers
আমাদের ক্ষেত্রে, আমাদের জিনিসগুলি ভালভাবে সেট আপ করা হয়নি, তাই আমাকে অ্যাপাচি ব্যবহার করতে হয়েছিল, যা X-FORWARDED-FORহেডার সন্ধান করতে পারে এবং সেখান থেকে আইপি ঠিকানাগুলি ব্লক করতে পারে।
এটি আপনার অ্যাপাচি কনফিগারেশনে যুক্ত করুন (সম্ভবত ভার্চুয়ালহস্ট ব্লকে):
RewriteEngine On
RewriteCond %{HTTP:X-FORWARDED-FOR] ^46\.242\.69\.216
RewriteRule .* - [F]
এটি ELB দ্বারা সেট করা শিরোনামটি পরীক্ষা করবে
কনফিগারেশন সংরক্ষণ করুন, apache2ctl -tডিবিয়ান / উবুন্টু (বা apachectl -tআরএইচইএল) এর জন্য পরীক্ষা করুন , তারপরে অ্যাপাচি পুনরায় চালু করুন।
এটি কেবল একটি 403 Forbiddenপ্রতিক্রিয়া ফেরত পাঠায়
এডাব্লুএসে একক আইপি / আইপি ব্যাপ্তি থেকে ট্র্যাফিক ব্লক করা
এখানে একটি দ্রুত টিউটোরিয়াল: http://chopmo.dk/posts/2015/06/13/blocking-traffic-in-aws.html