Dopyt
Backendový servisný port neumožňuje používateľom priamy prístup, napríklad 80, 443:3389 a podobne, a umožňuje prístup iba cez SLB load balancer od Alibaba Cloud. Keďže ECS používa SLB na presmerovanie a zaťaženie verejnej siete, používatelia nemusia pristupovať k verejnej adrese ECS, preto sú bezpečnostné skupiny nastavené tak, aby blokovali priamy prístup k ECS adrese.
Riešenie:
Blok IP adries load balancera, 100.64.0.0/10 (100.64.0.0/10 je rezervovaná adresa Alibaba Cloud a ostatní používatelia nemôžu byť priradení k tomuto sieťovému bloku, takže neexistuje bezpečnostné riziko) a blok IP adries Anti-Pro nie sú bezpečnostným rizikom.
Referenčná adresa:
Prihlásenie na hypertextový odkaz je viditeľné.
Prihlásenie na hypertextový odkaz je viditeľné.
Potom IP adresa začínajúca na 100.64 zodpovedá adresnému bloku 100.64.0.0/10, rozsah adries je 100.64.0.0~100.127.255.255, obsahujúci celkovo 4 194 304 IP adries, táto rezervovaná adresa sa používa aj pre intranet, ale tento intranet nie je všeobecný intranet, ale carrier-grade NAT, a zodpovedajúci anglický preklad je "carrier-grade NAT". Ďalšie vyhľadávanie ukázalo, že RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) z apríla 2012 používa blok adries 100.64.0.0/10 (Shared Address Space) pre poskytovateľov operátorov:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Nota:Musíte SLB najskôr umožniť prístup k ECS (priorita 1) a potom vytvoriť všeobecné pravidlo (priorita 2) na zamietnutie iných spojení.
|
Zverejnené 18. 7. 2020 17:36:52
|
|
|
|
