Ubuntu
嚴格允許來自 ec2 實例上特定主機的 HTTP 數據包
我有一個 ec2 實例 (
proxy
),它被用作 http 代理伺服器。還有一些其他主機(hostA
,hostB
,hostC
),我希望代理伺服器只允許來自這些主機的連接。為此,我更改了安全組並將這些主機添加為源和
80
埠Port | Source ---------+---------- 80(HTTP) | hostA/32 80(HTTP) | hostB/32 80(HTTP) | hostC/32
此時沒有其他主機了,
hostA
可以訪問了。hostB``hostC``Proxy
但是,如果來自其他 aws 機器的人創建了一個帶有假源地址的假 IP 數據包怎麼辦。請問介面(
eth0
)接受嗎?除了安全組設置,我還應該採取其他安全措施嗎?
但是,如果來自其他 aws 機器的人創建了一個帶有假源地址的假 IP 數據包怎麼辦。請問介面(eth0)能接受嗎?
是的,但是由於他們不會收到回複數據包,他們將無法完成握手並建立 TCP 連接。所以他們不應該能夠向代理髮送任何實際數據。
即使他們成功地猜到了序列號,建立了 TCP 連接,並獲得了一些數據給代理,他們仍然會面臨兩個問題:
- 他們永遠不會收到任何數據,因為回復不會發給他們。
- 它們的連接將很快被實際使用該 IP 地址的機器關閉,因為它使用 RST 響應“外星”數據包,假設它是可操作的。