যদি সম্ভব হয় তবে সার্ভার এবং ফায়ারওয়াল উভয় ক্ষেত্রেই ট্র্যাফিক অবরোধ করুন।
সুরক্ষা গোষ্ঠীগুলি ভাল কারণ তারা আপনার হোস্টের বাহ্যিক তাই ডেটা কখনও আপনার কাছে পৌঁছায় না। যদিও এটি বেশিরভাগ সার্ভার ভিত্তিক ফায়ারওয়ালগুলির মতো কনফিগারযোগ্য নয়।
দুর্ভাগ্যক্রমে, ইসি 2 সুরক্ষা গোষ্ঠীগুলি একটি ডিফল্ট অস্বীকার নীতি মাধ্যমে কেবল পরিষেবাগুলিকে "অনুমতি" দিতে পারে। সুতরাং আপনি যদি একটি ছোট আইপি রেঞ্জের জন্য সর্বজনীন "অনুমোদিত" পরিষেবাটিতে অ্যাক্সেস আটকাতে চাইছেন, তবে "বাকি ইন্টারনেট" এর জন্য অনুমতি বিধি তৈরি করা কেবলমাত্র একটি আইপি পরিসীমা অবরুদ্ধ করার চেয়ে কিছুটা জটিল। আপনি যেমন একটি দুর্দান্ত বড় অংশ উল্লেখ করেছেন, 172.64.0.0/16 সহ নেটওয়ার্ক রেঞ্জের তালিকা খুব দীর্ঘ নয়:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
এই তালিকাটি আপনার পোর্ট (গুলি) এর জন্য যুক্ত করা দরকার। তারপরে আপনি সেই বন্দরের জন্য আপনার 'সমস্ত অনুমতি দিন' নিয়ম মুছতে পারেন। আপনার যদি একাধিক পোর্ট থাকে তবে এটির জন্য এটি করতে চান এটি সংগত নয়, তাদের তালিকায় একাধিকবার যেতে হবে। আপনার যদি একাধিক সুরক্ষা গোষ্ঠী থাকে তবে এটি দ্রুত নিয়ন্ত্রণহীন হয়ে উঠতে পারে।
স্থানীয়ভাবে ফায়ারওয়ালিংও কাজ করবে। iptables
ডিফল্ট অ্যামাজন এএমআই এবং সমস্ত লিনাক্স ডিস্ট্রোতে উপলব্ধ
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
আপনার বিধিগুলি যুক্ত করার পরে আপনাকে সেগুলি সংরক্ষণ করতে হবে এবং iptables
পরিষেবাটি বুট-এ শুরু হবে তা নিশ্চিত করুন ।
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
সংরক্ষণের জন্য কনফিগার ফাইলটি বিতরণের সাথে পৃথক হবে।
একটি ভিপিসি ব্যবহার করা
যদি আপনি আপনার উদাহরণগুলির জন্য একটি ভিপিসি ব্যবহার করেন তবে আপনি "নেটওয়ার্ক এসিএলএস" নির্দিষ্ট করতে পারেন যা আপনার সাবনেটে কাজ করে। নেটওয়ার্ক এসিএলগুলি আপনাকে নিয়মকে অনুমতি এবং অস্বীকার উভয়ই লেখার অনুমতি দেয় তাই আমি এটি এইভাবে করার পরামর্শ দিই।