嚴格允許來自 ec2 實例上特定主機的 HTTP 數據包

我有一個 ec2 實例 ( proxy)，它被用作 http 代理伺服器。還有一些其他主機（hostA, hostB, hostC），我希望代理伺服器只允許來自這些主機的連接。

為此，我更改了安全組並將這些主機添加為源和80埠

Port     |  Source
---------+----------
80(HTTP) |  hostA/32
80(HTTP) |  hostB/32
80(HTTP) |  hostC/32

此時沒有其他主機了，hostA可以訪問了。hostB``hostC``Proxy

但是，如果來自其他 aws 機器的人創建了一個帶有假源地址的假 IP 數據包怎麼辦。請問介面（eth0）接受嗎？

除了安全組設置，我還應該採取其他安全措施嗎？

但是，如果來自其他 aws 機器的人創建了一個帶有假源地址的假 IP 數據包怎麼辦。請問介面（eth0）能接受嗎？

是的，但是由於他們不會收到回複數據包，他們將無法完成握手並建立 TCP 連接。所以他們不應該能夠向代理髮送任何實際數據。

即使他們成功地猜到了序列號，建立了 TCP 連接，並獲得了一些數據給代理，他們仍然會面臨兩個問題：

1. 他們永遠不會收到任何數據，因為回復不會發給他們。
2. 它們的連接將很快被實際使用該 IP 地址的機器關閉，因為它使用 RST 響應“外星”數據包，假設它是可操作的。

引用自：https://serverfault.com/questions/542459