Спрос
Порт бэкенд-сервиса не позволяет пользователям получать прямой доступ к нему, например, 80, 443:3389 и т.д., и допускает доступ только через балансировщик нагрузки SLB от Alibaba Cloud. Поскольку ECS использует SLB для пересылки и загрузки публичных сетей, пользователям не нужно обращаться к публичному сетевому адресу ECS, поэтому правила группы безопасности настроены так, чтобы блокировать доступ пользователей к адресу ECS напрямую.
Решение:
Блок IP-адресов балансировщика нагрузки, 100.64.0.0/10 (100.64.0.0/10 — это зарезервированный адрес Alibaba Cloud, и другие пользователи не могут быть назначены к этому сетевому блоку, поэтому нет риска безопасности), а блокировка IP-адресов Anti-Pro не представляет угрозы безопасности.
Адрес для справки:
Вход по гиперссылке виден.
Вход по гиперссылке виден.
Тогда IP-адрес, начинающийся с 100.64, соответствует блоку адресов 100.64.0.0/10, диапазон адресов — 100.64.0.0~100.127.255.255, содержащий всего 4 194 304 IP-адреса; этот зарезервированный адрес также используется для интранета, но этот интранет не является общим интранетом, а операторским классом NAT, и соответствующий перевод на английском — «carrier-grade NAT». Дальнейший поиск показал, что RFC 6598 (префикс IANA-Reserved IPv4 for Shared Address Space) от апреля 2012 года использует адресный блок 100.64.0.0/10 (Shared Address Space) для операторов-провайдеров:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Заметка:Сначала нужно разрешить SLB доступ к ECS (приоритет 1), а затем создать общее правило (приоритет 2) для запрета другим подключениям.
|
Опубликовано 18.07.2020 17:36:52
|
|
|
|
