У вас есть веб-сайт, работающий на экземплярах AWS EC2 с 2011 года. Простая конфигурация с использованием групп безопасности для обработки одного экземпляра, на котором запущен nginx, как сервера-бастиона, позволяющего доступ по HTTP и HTTPS из любого места, напрямую обслуживая статический контент и проксируя запросы PHP через HTTP другим экземплярам, на которых запущен apache без публичного доступа. Я не верю, что у меня есть Когда-либо сделано что-либо с сетевыми ACL. Но случайно я наткнулся на эти входящие сетевые правила ACL для своего VPC. Для меня ни один из CIDR не имеет значения.
100 All traffic All All 114.134.184.0/21 Deny
101 All traffic All All 1.68.0.0/14 Deny
102 All traffic All All 1.80.0.0/13 Deny
103 All traffic All All 1.92.0.0/14 Deny
104 All traffic All All 1.192.0.0/13 Deny
105 All traffic All All 1.202.0.0/15 Deny
106 All traffic All All 1.204.0.0/14 Deny
107 All traffic All All 14.144.0.0/12 Deny
108 All traffic All All 14.208.0.0/12 Deny
109 All traffic All All 23.80.54.0/24 Deny
110 All traffic All All 23.104.141.0/24 Deny
112 All traffic All All 23.226.208.0/24 Deny
113 All traffic All All 27.8.0.0/13 Deny
117 All traffic All All 27.50.128.0/17 Deny
118 All traffic All All 27.54.192.0/18 Deny
119 All traffic All All 27.106.128.0/18 Deny
120 All traffic All All 27.115.0.0/17 Deny
121 All traffic All All 27.148.0.0/14 Deny
32766 All traffic All All 0.0.0.0/0 Allow
* All traffic All All 0.0.0.0/0 Deny
Возможно ли, что они присутствовали по умолчанию, когда учетная запись и ее единственный VPC были созданы 10 лет назад? Имеют ли значение эти CIDR для кого-то еще? Я только что создал новую учетную запись бесплатного уровня, и сетевой ACL для ее VPC имеет только эти два разумных разумных правила: разрешить все с 0.0.0.0/32, а затем запретить все для 0.0.0.0/32
1 ответ
Согласно APNIC WHOIS, все они являются точными совпадениями для различных сетевых префиксов, расположенных в Китае, поэтому я подозреваю, что в то время это было частью вашей политики безопасности. В то же время это очень Маловероятно, что Amazon по умолчанию заблокирует целую страну.
Насколько я помню (по общему признанию, в наши дни это не очень сильное заявление), моей реакцией на спамеров и парсеров было использование linux iptables со списками блокировок с сайта в Интернете, который действительно агрессивно блокировал множество иностранных CIDR, в том числе: но не ограничиваясь этим, Китай. Но я действительно не думаю, что когда-либо касался сетевых ACL VPC — я даже не уверен, что эта функция существовала в 2011 году.
— сажа ореховая
15 часов назад
Что ж, я приму этот ответ, поскольку это единственное логическое объяснение. Тот факт, что я не помню, чтобы что-то делал, не означает, что я этого не делал 🙂 Глядя на мой текущий черный список iptables для Китая, почти каждый из этих CIDR находится в этой таблице. Подумав об этом немного сложнее, я могу вызвать в воображении смутное воспоминание о наличии списка CIDR для блокировки, с которым я что-то сделал, прежде чем обнаружил iptables — что намного легче поддерживать, чем ACL Amazon / s.
— сажа ореховая
15 часов назад