Demanda
El puerto de servicio backend no permite a los usuarios acceder directamente a él, como 80, 443:3389, etc., y solo permite acceder a través del balanceador de carga SLB de Alibaba Cloud. Dado que ECS utiliza SLB para el reenvío y carga de red pública, los usuarios no necesitan acceder a la dirección pública de red ECS, por lo que las reglas de los grupos de seguridad están configuradas para bloquear a los usuarios y no acceder directamente a la dirección ECS.
Solución:
El bloque de direcciones IP del balanceador de carga, 100.64.0.0/10 (100.64.0.0/10 es la dirección reservada de Alibaba Cloud, y no se pueden asignar otros usuarios a este bloque de red, por lo que no hay riesgo de seguridad) y el bloque de direcciones IP de Anti-Pro no supone un riesgo de seguridad.
Dirección de referencia:
El inicio de sesión del hipervínculo es visible.
El inicio de sesión del hipervínculo es visible.
Entonces, la dirección IP que comienza por 100.64 corresponde al bloque de direcciones es 100.64.0.0/10, el rango de direcciones es 100.64.0.0~100.127.255.255, que contiene un total de 4.194.304 direcciones IP, esta dirección reservada también se usa para la intranet, pero esta intranet no es una intranet general sino un NAT de grado portador, y la traducción correspondiente al inglés es "carrier-grade NAT". Una búsqueda adicional reveló que el RFC 6598 (prefijo IPv4 reservado IANA-Reserved para Espacio de Direcciones Compartido) de abril de 2012 utiliza el bloque de direcciones 100.64.0.0/10 (Espacio de Direcciones Compartido) para ISP operadores:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Nota:Debes permitir que los SLB accedan primero a ECS (prioridad 1), y luego crear una regla genérica (prioridad 2) para denegar otras conexiones.
|
Publicado en 18/7/2020 17:36:52
|
|
|
|
