Търсене
Бекенд портът не позволява на потребителите да имат директен достъп до него, като 80, 443:3389 и др., и позволява достъп само чрез SLB балансьора на натоварването на Alibaba Cloud. Тъй като ECS използва SLB за публично препращане и зареждане на мрежи, потребителите не е необходимо да имат достъп до публичния мрежов адрес на ECS, затова правилата за security group са конфигурирани така, че да блокират директен достъп до ECS адреса.
Решение:
IP адресният блок на балансьора на натоварването, 100.64.0.0/10 (100.64.0.0/10 е резервираният адрес на Alibaba Cloud, и други потребители не могат да бъдат назначени към този мрежов блок, така че няма риск за сигурността) и IP адресният блок на Anti-Pro не представляват риск за сигурността.
Референтен адрес:
Входът към хиперлинк е видим.
Входът към хиперлинк е видим.
Тогава IP адресът, започващ с 100.64, съответства на адресния блок, е 100.64.0.0/10, а диапазонът на адресите е 100.64.0.0~100.127.255.255, съдържащ общо 4 194 304 IP адреса, този запазен адрес се използва и за интранет, но този интранет не е общ интранет, а операторски клас NAT, а съответният превод на английски е "carrier-grade NAT". По-нататъшното търсене показа, че RFC 6598 (IANA-резервиран IPv4 префикс за споделено адресно пространство) от април 2012 г. използва адресния блок 100.64.0.0/10 (Shared Address Space) за операторските доставчици:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Бележка:Трябва първо да позволите на SLB да имат достъп до ECS (приоритет 1), а след това да създадете общо правило (приоритет 2) за отказване на други връзки.
|
Публикувано в 18.07.2020 г. 17:36:52 ч.
|
|
|
|
