আমি কীভাবে একটি অ্যামাজন ইসি 2 উদাহরণ দিয়ে আইপি অ্যাড্রেসগুলির একটি সীমার অবরুদ্ধ করতে পারি?


27

আমি জানি আইপি অ্যাড্রেসগুলির একটি নির্দিষ্ট পরিসীমা আমার সার্ভারে সমস্যা সৃষ্টি করছে, 172.64.*.*আমার অ্যামাজন ইসি 2 উদাহরণটিতে অ্যাক্সেস ব্লক করার সর্বোত্তম উপায় কী? সুরক্ষা গোষ্ঠীগুলি ব্যবহার করে এটি করার কোনও উপায় আছে বা সার্ভারে ফায়ারওয়াল দিয়ে এটি করা ভাল?


1
উদাহরণটি কোনও ভিপিসির মধ্যে থাকলে, আপনি নির্দিষ্ট ব্যাপ্তি অস্বীকার করতে নেটওয়ার্ক এসিএল সম্পাদনা করতে পারেন।

উত্তর:


17

যদি সম্ভব হয় তবে সার্ভার এবং ফায়ারওয়াল উভয় ক্ষেত্রেই ট্র্যাফিক অবরোধ করুন।

সুরক্ষা গোষ্ঠীগুলি ভাল কারণ তারা আপনার হোস্টের বাহ্যিক তাই ডেটা কখনও আপনার কাছে পৌঁছায় না। যদিও এটি বেশিরভাগ সার্ভার ভিত্তিক ফায়ারওয়ালগুলির মতো কনফিগারযোগ্য নয়।

দুর্ভাগ্যক্রমে, ইসি 2 সুরক্ষা গোষ্ঠীগুলি একটি ডিফল্ট অস্বীকার নীতি মাধ্যমে কেবল পরিষেবাগুলিকে "অনুমতি" দিতে পারে। সুতরাং আপনি যদি একটি ছোট আইপি রেঞ্জের জন্য সর্বজনীন "অনুমোদিত" পরিষেবাটিতে অ্যাক্সেস আটকাতে চাইছেন, তবে "বাকি ইন্টারনেট" এর জন্য অনুমতি বিধি তৈরি করা কেবলমাত্র একটি আইপি পরিসীমা অবরুদ্ধ করার চেয়ে কিছুটা জটিল। আপনি যেমন একটি দুর্দান্ত বড় অংশ উল্লেখ করেছেন, 172.64.0.0/16 সহ নেটওয়ার্ক রেঞ্জের তালিকা খুব দীর্ঘ নয়:

0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3

এই তালিকাটি আপনার পোর্ট (গুলি) এর জন্য যুক্ত করা দরকার। তারপরে আপনি সেই বন্দরের জন্য আপনার 'সমস্ত অনুমতি দিন' নিয়ম মুছতে পারেন। আপনার যদি একাধিক পোর্ট থাকে তবে এটির জন্য এটি করতে চান এটি সংগত নয়, তাদের তালিকায় একাধিকবার যেতে হবে। আপনার যদি একাধিক সুরক্ষা গোষ্ঠী থাকে তবে এটি দ্রুত নিয়ন্ত্রণহীন হয়ে উঠতে পারে।

স্থানীয়ভাবে ফায়ারওয়ালিংও কাজ করবে। iptablesডিফল্ট অ্যামাজন এএমআই এবং সমস্ত লিনাক্স ডিস্ট্রোতে উপলব্ধ

sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP

আপনার বিধিগুলি যুক্ত করার পরে আপনাকে সেগুলি সংরক্ষণ করতে হবে এবং iptablesপরিষেবাটি বুট-এ শুরু হবে তা নিশ্চিত করুন ।

# For Amazon Linux
sudo service iptables save

# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4

সংরক্ষণের জন্য কনফিগার ফাইলটি বিতরণের সাথে পৃথক হবে।

একটি ভিপিসি ব্যবহার করা

যদি আপনি আপনার উদাহরণগুলির জন্য একটি ভিপিসি ব্যবহার করেন তবে আপনি "নেটওয়ার্ক এসিএলএস" নির্দিষ্ট করতে পারেন যা আপনার সাবনেটে কাজ করে। নেটওয়ার্ক এসিএলগুলি আপনাকে নিয়মকে অনুমতি এবং অস্বীকার উভয়ই লেখার অনুমতি দেয় তাই আমি এটি এইভাবে করার পরামর্শ দিই।


এটি আর কাজ করে না
কিম জং উ

@ কিমজংও কি কাজ করে না? আমি iptablesকাজ করছে না তা দেখতে পাচ্ছি না আপনি কি সুরক্ষা গোষ্ঠীতে থাকা বৃহত সাবনেটের অনুমতি দিচ্ছেন?
ম্যাট

12

যান চলাচল বন্ধ করার সহজ উপায় হ'ল (ধরুন ভিপিসি ব্যবহার করা হচ্ছে) এটিকে উদাহরণের ভিপিসি নেটওয়ার্ক এসিএলে যুক্ত করে এবং সেই আইপি ঠিকানা থেকে সমস্ত ট্র্যাফিক অস্বীকার করে।

একটি জিনিস মনে রাখতে হবে, অস্বীকার করার নিয়ম সংখ্যাটি প্রথম অনুমতি নিয়মের সংখ্যার চেয়ে কম হওয়া উচিত।


4
আপনি বলতে চাইছেন অস্বীকার করার নিয়ম সংখ্যাটি কম হওয়া উচিত তবে প্রথমে অনুমতি দেওয়া নম্বরটি?
ড্যান টেনেনবাউম

হ্যাঁ ঠিক আছে।
pg2286

1
মনে রাখবেন যে এসিএল বিধিগুলির 20 সীমা রয়েছে। এবং এই স্তন্যপান, আমাজন।
অ্যালেক্স

3

আমি দু'বার একটি ইস্যুতে চালিত হয়েছি এবং বুঝতে পেরেছি আমার ইসি 2 পরিস্থিতিটি একটু আলাদা: iptablesআপনার সার্ভার (গুলি) কোনও স্থিতিস্থাপক লোড ব্যালেন্সার (ইএলবি) এর পিছনে একটি ক্লাস্টারে থাকলে কাজ করবে না - আইপি ঠিকানাটি উদাহরণটি জানায় এটি হ'ল ELB।

যদি আপনার ELB আরও আধুনিক কনফিগারেশনে কনফিগার করা থাকে তবে এই এসও উত্তরটি দেখুন: https://stackoverflow.com/questions/20123308/how-to-configure-aws-elb-to- block-certain-ip-addresses- জ্ঞান -spammers

আমাদের ক্ষেত্রে, আমাদের জিনিসগুলি ভালভাবে সেট আপ করা হয়নি, তাই আমাকে অ্যাপাচি ব্যবহার করতে হয়েছিল, যা X-FORWARDED-FORহেডার সন্ধান করতে পারে এবং সেখান থেকে আইপি ঠিকানাগুলি ব্লক করতে পারে।

এটি আপনার অ্যাপাচি কনফিগারেশনে যুক্ত করুন (সম্ভবত ভার্চুয়ালহস্ট ব্লকে):

RewriteEngine On
RewriteCond %{HTTP:X-FORWARDED-FOR] ^46\.242\.69\.216
RewriteRule .* - [F]

এটি ELB দ্বারা সেট করা শিরোনামটি পরীক্ষা করবে

কনফিগারেশন সংরক্ষণ করুন, apache2ctl -tডিবিয়ান / উবুন্টু (বা apachectl -tআরএইচইএল) এর জন্য পরীক্ষা করুন , তারপরে অ্যাপাচি পুনরায় চালু করুন।

এটি কেবল একটি 403 Forbiddenপ্রতিক্রিয়া ফেরত পাঠায়


2

এডাব্লুএসে একক আইপি / আইপি ব্যাপ্তি থেকে ট্র্যাফিক ব্লক করা

  1. আপনার ভিপিসি ড্যাশবোর্ড খুলুন
  2. "নেটওয়ার্ক এসিএল" ভিউ খুলুন
  3. এসিএল সম্পাদক খুলুন
  4. ট্র্যাফিক অবরোধ করতে একটি বিধি যুক্ত করুন

এখানে একটি দ্রুত টিউটোরিয়াল: http://chopmo.dk/posts/2015/06/13/blocking-traffic-in-aws.html

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.