Mümkünse, hem sunucu hem de güvenlik duvarındaki trafiği engelleyin.
Güvenlik grupları iyidir çünkü ana makinenize haricidirler, böylece veriler size ulaşmaz. Ancak çoğu sunucu tabanlı güvenlik duvarları kadar yapılandırılabilir değiller.
Ne yazık ki, EC2 güvenlik grupları hizmetlere yalnızca bir reddetme politikası yoluyla "izin verebilir". Bu nedenle, küçük bir IP aralığı için genel olarak "izin verilen" bir hizmete erişimi engellemeye çalışıyorsanız, "internetin geri kalanı" için izin kuralını oluşturmak, yalnızca bir IP aralığını engellemekten biraz daha karmaşıktır. Güzel bir büyük yığın belirttiğiniz gibi, 172.64.0.0/16 içermeyen ağ aralıklarının listesi çok uzun değil:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
Bu liste port (lar) ınıza eklenmeli. Ardından, bu bağlantı noktası için 'herkese izin ver' kuralınızı silebilirsiniz. Birden fazla bağlantı noktanız varsa, bunu yapmak istediğiniz için bitişik olmayanlar, listelerinin birden çok kez gitmesi gerekir. Birden fazla güvenlik grubunuz varsa, bu hızla yönetilemez hale gelebilir.
Yerel olarak güvenlik duvarı da çalışacaktır. iptables
Varsayılan Amazon AMI’de ve tüm Linux Distro’larında kullanılabilir.
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
Kurallarınızı ekledikten sonra bunları kaydetmeniz ve iptables
hizmetin açılışta başladığından emin olmanız gerekir .
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
Kaydedilecek yapılandırma dosyası, dağıtımlara göre değişir.
VPC kullanmak
Örnekleriniz için bir VPC kullanıyorsanız , alt ağınızda çalışan "Ağ ACLS" yi belirleyebilirsiniz. Ağ EKL'leri, kuralları hem izin hem de reddetmenizi sağlar; bu şekilde yapmanızı öneririm.