Puteți împiedica rutarea traficului către un AWS ALB dacă gazda este o adresă IP și nu un nume de domeniu?

Bryan Phillips

05.08.2023, 21:31

Rulez un ALB pe AWS cu mai multe certificate SSL. Numele de domeniu este gestionat dinamic prin aplicația de pe EC2. În prezent, ALB va direcționa cererile către adresa IP a ALB către aplicație. Chiar dacă aplicația are o excepție adecvată pentru aceste interogări, acest lucru cauzează intrări inutile în jurnalele în toate jurnalele de solicitări și în WAF.

Primele mele două gânduri au fost...

Adăugați o regulă de ascultător care blochează adresele IP. Din păcate, singura modalitate pe care o văd de a face asta este să am un filtru de antet gazdă activat *.*.*.*. Nu va funcționa pentru că am putea deservi un site site.group.example.com.
Redirecționați cererea către grupul țintă numai dacă antetul gazdă se potrivește cu unul dintre certificatele SSL atașate ascultătorului. Problema aici este că nu găsesc nicio modalitate de a executa acest tip de regulă.

0 + 0

certificat ssl

servicii-web-amazon

amazon-alb

Appleoddity

06.08.2023, 04:25

Ceea ce descrii NU este modul în care funcționează de obicei un ALB.Ați configurat regula implicită să redirecționeze către aplicație, mai degrabă decât să o renunțați cu un http 404. Sau, ați creat o regulă care include aceste solicitări. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#listener-rules

Răspunde

Tim

06.08.2023, 09:14

Vrei să spui că adresezi ALB-ului prin adresa IP? Adresa IP a unui ALB se modifică în momente aleatorii, cum ar fi în timpul întreținerii sau când se extinde/degradează. Trimiterea totul de la ALB la aplicație nu este ceva ce am auzit despre cineva să facă, aceasta ar trebui să fie folosind numele de domeniu / SLI.

Răspunde

Bryan Phillips

06.08.2023, 13:03

Mulțumiri. Toate acestea au sens și ceea ce mi-am asumat. Pot, și în prezent o fac, să blochez acele cereri la nivel de aplicație. Se pare că singura noastră alternativă de a o bloca înainte de a ajunge la aplicație este să construim reguli specifice domeniului pe ascultător pentru fiecare domeniu la care aplicația va răspunde și apoi să lăsați o regulă implicită pentru a bloca orice altceva. Deoarece am mai multe ALB-uri care deservesc numărul maxim de certificate SSL fiecare, am căutat o opțiune mai automată. Apreciez timpul acordat pentru a comenta.

Răspunde

Puncte:0

Server

Bryan Phillips

07.08.2023, 15:21

Actualizarea acestui răspuns, pe baza comentariilor. În esență, este o situație de „nepuneți întrebarea”, deoarece soluția este să enumerați toate numele de domenii ca filtre și să aveți o regulă implicită finală care respinge cererea.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: Can you prevent routing traffic to an AWS ALB if the host is an IP address and not a domain name?

TH: คุณสามารถป้องกันการกำหนดเส้นทางทราฟฟิกไปยัง AWS ALB ได้หรือไม่ หากโฮสต์เป็นที่อยู่ IP ไม่ใช่ชื่อโดเมน

RO: Puteți împiedica rutarea traficului către un AWS ALB dacă gazda este o adresă IP și nu un nume de domeniu?

RU: Можно ли запретить маршрутизацию трафика на AWS ALB, если хост является IP-адресом, а не доменным именем?

VI: Bạn có thể ngăn lưu lượng truy cập định tuyến tới AWS ALB nếu máy chủ lưu trữ là địa chỉ IP chứ không phải tên miền không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.