Попит
Бекенд-сервісний порт не дозволяє користувачам отримувати прямий доступ до нього, наприклад 80, 443:3389 тощо, і дозволяє доступ лише через балансувальник навантаження SLB від Alibaba Cloud. Оскільки ECS використовує SLB для публічного переадресування та завантаження мережі, користувачам не потрібно отримувати доступ до публічної адреси ECS, тому правила групи безпеки налаштовані так, щоб блокувати доступ користувачів до адреси ECS напряму.
Рішення:
IP-адресний блок балансувальника навантаження, 100.64.0.0/10 (100.64.0.0/10 — зарезервована адреса Alibaba Cloud, і інші користувачі не можуть бути призначені до цього мережевого блоку, тому ризику безпеки немає) та IP-адресний блок Anti-Pro не становить ризику безпеці.
Адреса для довідки:
Вхід за гіперпосиланням видно.
Вхід за гіперпосиланням видно.
Тоді IP-адреса, що починається з 100.64, відповідає блоку адреси — 100.64.0.0/10, діапазон адрес — 100.64.0.0~100.127.255.255, що містить загалом 4 194 304 IP-адреси, ця зарезервована адреса також використовується для внутрішньої мережі, але ця інтранет не є загальною інтранетом, а операторським класом NAT, і відповідний переклад англійською мовою — «carrier-grade NAT». Подальший пошук показав, що RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) квітня 2012 року використовує адресний блок 100.64.0.0/10 (Shared Address Space) для операторів-провайдерів:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Примітка:Спочатку потрібно дозволити SLB доступ до ECS (пріоритет 1), а потім створити загальне правило (пріоритет 2) для відмови в інших підключеннях.
|
Опубліковано 18.07.2020 17:36:52
|
|
|
|
