Demande
Le port de service backend ne permet pas aux utilisateurs d’y accéder directement, comme 80, 443:3389, etc., et ne permet l’accès que via l’équilibreur de charge SLB d’Alibaba Cloud. Puisque l’ECS utilise SLB pour le transfert et le chargement du réseau public, les utilisateurs n’ont pas besoin d’accéder à l’adresse réseau publique de l’ECS, donc les règles du groupe de sécurité sont configurées pour bloquer l’accès direct à l’adresse ECS.
Solution:
Le bloc d’adresses IP du load balancer, 100.64.0.0/10 (100.64.0.0/10 est l’adresse réservée d’Alibaba Cloud, et les autres utilisateurs ne peuvent pas être assignés à ce bloc réseau, donc il n’y a aucun risque de sécurité) et le bloc d’adresses IP d’Anti-Pro ne constituent pas un risque de sécurité.
Adresse de référence :
La connexion hyperlientérée est visible.
La connexion hyperlientérée est visible.
Ensuite, l’adresse IP commençant par 100.64 correspond au bloc d’adresses 100.64.0.0/10, la plage d’adresses est 100.64.0.0~100.127.255.255, contenant un total de 4 194 304 adresses IP ; cette adresse réservée est également utilisée pour l’intranet, mais ce n’est pas un intranet général mais un NAT de qualité opérateur, et la traduction correspondante en anglais est « carrier-grade NAT ». Une recherche plus approfondie a révélé que la RFC 6598 (préfixe IPv4 IANA-Reserved for Shared Address Space) d’avril 2012 utilise le bloc d’adresses 100.64.0.0/10 (Shared Address Space) pour les fournisseurs d’accès Internet :
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Note:Vous devez autoriser les SLB à accéder d’abord à l’ECS (priorité 1), puis créer une règle générique (priorité 2) pour refuser d’autres connexions.
|
Publié sur 18/07/2020 17:36:52
|
|
|
|
