拒绝 AWS ELB 上的 IP 地址

Question 1

一个直接的解决方案是使用 VPC 网络 ACL 入站规则。这仅当您的 ELB 位于 VPC 中时才有效，但如果您在过去几年内创建了它，它应该位于默认 VPC 中。

例如，要禁止 1.2.3.4，请执行以下操作：

登录到 AWS。
导航VPC。
Network ACLs从左侧菜单中选择。
选择与您的 ELB 所在的 VPC 关联的 ACL。
选择Inbound Rules选项卡。
选择Edit并添加具有以下属性的新规则：
- 规则编号：50（任何数字，只要它小于“全部允许”的规则）
- 类型：所有流量
- 协议：全部
- 端口范围：全部
- 来源：1.2.3.4/32
- 允许/拒绝：拒绝

这里还有更多关于网络 ACL 的信息：http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html

Answer

一个直接的解决方案是使用 VPC 网络 ACL 入站规则。这仅当您的 ELB 位于 VPC 中时才有效，但如果您在过去几年内创建了它，它应该位于默认 VPC 中。

例如，要禁止 1.2.3.4，请执行以下操作：

登录到 AWS。
导航VPC。
Network ACLs从左侧菜单中选择。
选择与您的 ELB 所在的 VPC 关联的 ACL。
选择Inbound Rules选项卡。
选择Edit并添加具有以下属性的新规则：
- 规则编号：50（任何数字，只要它小于“全部允许”的规则）
- 类型：所有流量
- 协议：全部
- 端口范围：全部
- 来源：1.2.3.4/32
- 允许/拒绝：拒绝

这里还有更多关于网络 ACL 的信息：http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html

Question 2

与应用负载均衡器，您可以通过侦听器规则停止流量。

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html

Answer

与应用负载均衡器，您可以通过侦听器规则停止流量。

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html

Question 3

如果你只需要将几个 IP 列入黑名单，那么你可以使用nginx_http_access_module在您的网络服务器上。

Answer

如果你只需要将几个 IP 列入黑名单，那么你可以使用nginx_http_access_module在您的网络服务器上。

Question 4

为此，正如您所说，最好的解决方案是在 3 台不同的机器上使用 IPtables。

实际上，这不是一个好的解决方案，因为远程 IP（$remote_addr在 Nginx 中）将来自 Amazon 的负载均衡器。禁止该 IP 将导致所有转发的流量都被禁止。

您必须检查数据包并找到 HTTPX-Forwarded-For标头，IPtables 并不具备这样的协议感知能力。

我决定采用以下方法解决 Nginx 中的 2 个恶意 IP

set $client_ip $remote_addr;
if ($http_x_forwarded_for) {
  set $client_ip $http_x_forwarded_for;
}

if ($client_ip = "123.123.123.123") {
  return 403;
}

if ($client_ip = "123.123.123.234") {
  return 403;
}

引入一个变量$client_ip，这样我也可以在本地测试它，虽然没有http_x_forwarded_for可用的变量。

稍微偏离主题，但为了方便起见，我还将该客户端 IP 添加到了我的访问日志中：

log_format main "\$client_ip - \$remote_user [\$time_local] \"\$request\" \$status \$body_bytes_sent \"\$http_referer\" \"\$http_user_agent\"";
access_log /var/log/nginx.access.log main;

虽然不太好看，但希望有帮助

Answer