Blocca il traffico sia sul server che sul firewall, se possibile, per ogni evenienza.
I gruppi di sicurezza sono validi perché sono esterni al tuo host, quindi i dati non ti raggiungono mai. Tuttavia, non sono configurabili come la maggior parte dei firewall basati su server.
Sfortunatamente, i gruppi di sicurezza EC2 possono solo "consentire" servizi attraverso una politica di rifiuto predefinita. Quindi, se si sta tentando di bloccare l'accesso a un servizio "autorizzato" pubblicamente per un piccolo intervallo IP, la creazione della regola di consenso per "il resto di Internet" è un po 'più complessa rispetto al semplice blocco di un intervallo IP. Come hai specificato un bel grosso pezzo, l'elenco degli intervalli di rete non inclusi 172.64.0.0/16 non è troppo lungo:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
Questo elenco dovrebbe essere aggiunto per le tue porte. Quindi è possibile eliminare la regola "consenti tutto" per quella porta. Se si dispone di più porte per le quali non si desidera contigui, l'elenco dovrà andare più volte. Se hai più gruppi di sicurezza, questo può rapidamente diventare ingestibile.
Funzionerà anche localmente il firewall. iptables
è disponibile sull'AMI Amazon predefinita e su tutte le distro linux
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
Dopo aver aggiunto le tue regole dovrai salvarle e assicurarti che il iptables
servizio inizi all'avvio.
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
Il file di configurazione in cui salvare varia in base alle distribuzioni.
Utilizzando un VPC
Se si utilizza un VPC per le istanze, è possibile specificare "ACLS di rete" che funzionano sulla propria sottorete. Gli ACL di rete ti consentono di scrivere sia di consentire che di negare le regole, quindi ti consiglio di farlo in questo modo.