Poptávka
Backendový servisní port uživatelům neumožňuje přímý přístup, například 80, 443:3389 atd., a umožňuje přístup pouze přes SLB load balancer od Alibaba Cloud. Protože ECS používá SLB pro veřejné přesměrování a zatížení, uživatelé nemusí přistupovat k veřejné síťové adrese ECS, proto jsou bezpečnostní skupinová pravidla nakonfigurována tak, aby uživatelům zablokovala přímý přístup k adrese ECS.
Řešení:
IP blok load balanceru, 100.64.0.0/10 (100.64.0.0/10 je rezervovaná adresa Alibaba Cloud a ostatní uživatelé nemohou být přiřazeni k tomuto síťovému bloku, takže nehrozí žádné bezpečnostní riziko) a blok IP adres Anti-Pro nejsou bezpečnostním rizikem.
Referenční adresa:
Přihlášení k hypertextovému odkazu je viditelné.
Přihlášení k hypertextovému odkazu je viditelné.
Pak IP adresa začínající 100.64 odpovídá bloku adres, který je 100.64.0.0/10, rozsah adres je 100.64.0.0~100.127.255.255, obsahující celkem 4 194 304 IP adres, tato rezervovaná adresa se používá také pro intranet, ale tento intranet není obecný intranet, ale NAT pro nosnou třídu, a odpovídající překlad v angličtině je "carrier-grade NAT". Další vyhledávání ukázalo, že RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) z dubna 2012 používá blok adres 100.64.0.0/10 (Shared Address Space) pro operátorské ISP:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Poznámka:Musíte SLB nejprve umožnit přístup k ECS (priorita 1) a pak vytvořit obecné pravidlo (priorita 2), které zamítne další připojení.
|
Zveřejněno 18.07.2020 17:36:52
|
|
|
|
