Ограничение IP-адресов с помощью правил ACL в AWS

Есть два IP-адреса (172.31.42.243 и 172.31.19.188), которые неоднократно обращаются к моему сайту в AWS (размещенном на Beanstalk) с мусорными запросами.

Я попытался заблокировать их, используя правила отказа ACL. Если я добавлю только один, я все равно смогу попасть на свой сайт. Если я добавлю оба, я не смогу попасть на свой сайт.

Оба запрещающих правила используют /32 для обозначения CIDR, а добавленные мной запрещающие правила имеют меньшие числа, чем правило по умолчанию, разрешающее все. Что я делаю не так?


amazon-web-services aws-vpc
person mcdrummerman    schedule 27.06.2017    source источник
comment
Что ты бежишь? Что ты позади?   -  person EvgenyKolyakov    schedule 27.06.2017
comment
Это размещенный на IIS веб-сайт, созданный с использованием Elastic Beanstalk с балансировкой нагрузки.   -  person mcdrummerman    schedule 27.06.2017

Ответы (1)


arrow_upward
4
arrow_downward

Это не IP-адреса атакующих вас машин; это внутренние IP-адреса вашего ELB. Вот почему вы не можете получить доступ к своему сайту после их блокировки - никто не может!

Вам нужно просмотреть журналы доступа на ELB, а не на вашем сервере приложений, чтобы определить, какие IP-адреса атакуют вас. Вы можете настроить ведение журнала доступа на ELB на вкладке «Описание» в разделе «Атрибуты».

person Brian    schedule 27.06.2017
comment
Я настрою журналы доступа, спасибо за предложение. Я думал, что внутренние IP-адреса будут выглядеть как 10.x.x.x? - person mcdrummerman; 27.06.2017
comment
Внутренние IP-адреса не ограничены диапазоном 10.x.x.x. Вам нужно войти в консоль VPC и посмотреть, какие диапазоны IP-адресов настроены для использования вашим VPC. - person Mark B; 27.06.2017
comment
Согласно Википедии (en.wikipedia.org/wiki/Private_network), частные IP-адреса могут находиться в три диапазона: 10.0.0.0 — 10.255.255.255, 172.16.0.0 — 172.31.255.255 или 192.168.0.0 — 192.168.255.255. ELB, кажется, использует второй диапазон. - person Brian; 27.06.2017
comment
Внутренние адреса ELB в VPC всегда будут в пределах CIDR VPC. Когда вы настраиваете ELB, вы помещаете его в одну или несколько подсетей, и он получает как минимум один адрес из каждой из этих подсетей (больше, когда масштабируется). На самом деле вы можете найти виртуальные сетевые карты ELB в левом боковом меню консоли EC2 в разделе «Сетевые интерфейсы». На самом деле VPC не ограничены использованием RFC-1918, но предоставление одного из них с использованием другой сети не было бы хорошей идеей, за исключением редких случаев. - person Michael - sqlbot; 28.06.2017