Ubuntu

嚴格允許來自 ec2 實例上特定主機的 HTTP 數據包

  • September 29, 2013

我有一個 ec2 實例 ( proxy),它被用作 http 代理伺服器。還有一些其他主機(hostA, hostB, hostC),我希望代理伺服器只允許來自這些主機的連接。

為此,我更改了安全組並將這些主機添加為源和80

Port     |  Source
---------+----------
80(HTTP) |  hostA/32
80(HTTP) |  hostB/32
80(HTTP) |  hostC/32

此時沒有其他主機了,hostA可以訪問了。hostB``hostC``Proxy

但是,如果來自其他 aws 機器的人創建了一個帶有假源地址的假 IP 數據包怎麼辦。請問介面(eth0)接受嗎?

除了安全組設置,我還應該採取其他安全措施嗎?

但是,如果來自其他 aws 機器的人創建了一個帶有假源地址的假 IP 數據包怎麼辦。請問介面(eth0)能接受嗎?

是的,但是由於他們不會收到回複數據包,他們將無法完成握手並建立 TCP 連接。所以他們不應該能夠向代理髮送任何實際數據。

即使他們成功地猜到了序列號,建立了 TCP 連接,並獲得了一些數據給代理,他們仍然會面臨兩個問題:

  1. 他們永遠不會收到任何數據,因為回復不會發給他們。
  2. 它們的連接將很快被實際使用該 IP 地址的機器關閉,因為它使用 RST 響應“外星”數據包,假設它是可操作的。

引用自:https://serverfault.com/questions/542459