web-dev-qa-db-ja.com

ロードバランサーの背後にあるIPのブロック

サーバーがロードバランサーの背後にある場合、侵入者(または任意のIP)のIPアドレスをブロックする方法はありますか?たとえば、サーバーがELB(Amazon ELB)またはRackspace Load Balancerの背後にある場合、攻撃を受けており、実際の攻撃者のIPを知っています。これらのIPアドレスをブロックするにはどうすればよいですか?

よろしく、

4
Farhan

ELBでは、ELBレベルでIPをブロックすることはできません。サーバー自体がトラフィックを拒否する必要があります。 ELBは、これを行うために使用できるリクエスターのIPを含むX-Forwarded-Forヘッダーを渡します。

3
ceejayoz

ブロッキングの意味によって異なります。確かに mod_access を使用して、特定のIPへのアクセスを拒否できます(これにもmod_rpafが必要です)。一方、ロードバランサーへのアクセスをブロックできなかった理由はわかりませんが、ELBの詳細についてはよくわかりません。多分彼らはLBをあまり改ざんすることを許していません。

2
Hrvoje Špoljar

2017年9月の時点で、AWSは多くの新機能を備えたネットワークロードバランサーをリリースしました。

それらの1つは送信元アドレスの保存–ネットワークロードバランサーを使用すると、着信接続の元の送信元IPアドレスと送信元ポートは変更されないままになるため、アプリケーションソフトウェアX-Forwarded-For、プロキシプロトコル、またはその他の回避策をサポートする必要はありません。これは、VPCセキュリティグループを含む通常のファイアウォールルールをターゲットで使用できることも意味します。

から 新しいネットワークロードバランサー

これにより、OSレベルでiptables、ipchains、またはその他のTCP/IPファイアウォールを使用できるようになります。

1
user69366

ELBの背後にある不正なIPのブロックの問題を処理する方法については、AWSフォーラムの良いディスカッションを参照してください

要点は:
1)AWS ELBでは、トラフィックをIPでフィルタリングすることはできません。
2)クラシックまたはアプリケーションELBからのトラフィックは、TCPレベルを除く)でフィルタリングできません。新しいネットワークLBを使用する場合は、上記を参照してください)。これは、ネットワークファイアウォールに関する限り、すべてELBからのものであるためです。
3)ELBはhttpヘッダーにX-Forwarded-Forを追加して、Apacheのようにトラフィックをアプリケーションレベルでフィルタリングできるようにします、Nginx、ワニス。

0
user69366