Demanda
A porta de serviço backend não permite que os usuários acessem diretamente o site, como 80, 443:3389, etc., e só permite acesso pelo balanceador de carga SLB do Alibaba Cloud. Como o ECS usa SLB para encaminhamento e carregamento da rede pública, os usuários não precisam acessar o endereço público da rede ECS, então as regras do grupo de segurança são configuradas para bloquear o acesso direto do endereço ECS.
Solução:
O bloco de endereço IP do balanceador de carga, 100.64.0.0/10 (100.64.0.0/10 é o endereço reservado do Alibaba Cloud, e outros usuários não podem ser atribuídos a esse bloco de rede, portanto não há risco de segurança) e o bloco de endereço IP do Anti-Pro não representa risco de segurança.
Endereço de referência:
O login do hiperlink está visível.
O login do hiperlink está visível.
Então, o endereço IP começando com 100.64 corresponde ao bloco de endereços 100.64.0.0/10, o intervalo de endereços é 100.64.0.0~100.127.255.255, contendo um total de 4.194.304 endereços IP, esse endereço reservado também é usado para a intranet, mas essa intranet não é uma intranet geral, e sim um NAT de nível operador, e a tradução correspondente em inglês é "carrier-grade NAT". Uma busca adicional revelou que o RFC 6598 (Prefixo IPv4 reservado IANA para Espaço de Endereçamento Compartilhado) de abril de 2012 usa o bloco de endereços 100.64.0.0/10 (Espaço de Endereço Compartilhado) para provedores de operadora:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Nota:Você precisa permitir que SLBs acessem o ECS primeiro (prioridade 1), e depois criar uma regra genérica (prioridade 2) para negar outras conexões.
|
Publicado em 18/07/2020 17:36:52
|
|
|
|
