Comment puis-je bloquer une gamme d'adresses IP avec une instance Amazon EC2?

Bloquer le trafic sur le serveur et le pare-feu si possible, au cas où.

Les groupes de sécurité sont bons car ils sont externes à votre hôte afin que les données ne vous atteignent jamais. Ils ne sont pas aussi configurables que la plupart des pare-feu basés sur le serveur cependant.

Malheureusement, les groupes de sécurité EC2 ne peuvent que "autoriser" les services via une stratégie de refuge par défaut. Donc, si vous essayez de bloquer l'accès à un service publiquement "autorisé" pour une petite gamme IP, construisez la règle Autoriser le "reste d'Internet" est un peu plus complexe que de bloquer une gamme IP. Comme vous avez spécifié un bon gros morceau, la liste des gammes réseau n'incluant pas 172.64.0.0/16 n'est pas trop longue:

0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3

Cette liste devrait être ajoutée pour votre (s) port (s). Ensuite, vous pouvez supprimer votre règle "Autoriser toute" pour ce port. Si vous avez plusieurs ports, vous voulez faire cela pour cela ne sont pas contigus, ils devront aller à plusieurs reprises. Si vous avez plusieurs groupes de sécurité, cela peut rapidement se développer pour être ingérable.

Le pare-feu localement fonctionnera également. iptables est disponible sur l'Amazon AMI par défaut et toutes les distributeurs Linux

Sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP

Après avoir ajouté vos règles, vous devez les sauvegarder et vous assurer que le service iptables commence au démarrage.

# For Amazon Linux
Sudo service iptables save

# Other distributions might use one of these:
#Sudo iptables-save > /etc/sysconfig/iptables-config
#Sudo iptables-save > /etc/iptables/rules.4

Le fichier de configuration pour enregistrer pour variera à des distributions.

Utilisation d'un réseau VPC ACL

Si vous utilisez un [~ # ~ # ~] vpc [~ # ~ ~] Pour vos instances, vous pouvez spécifier des "ACL de réseau" qui fonctionnent sur votre sous-réseau. Les ACL réseau vous permettent d'écrire à la fois autoriser et refuser des règles afin que je recommande de le faire de cette façon.

Le moyen le plus simple d'arrêter le trafic est (en supposant que VPC est en cours d'utilisation) en l'ajoutant au réseau VPC ACL de cette instance et en refusant tout le trafic de cette adresse IP.

Une chose à retenir est que le numéro de règle de refus doit être inférieur au premier numéro de règle.

J'ai rencontré deux fois une question et j'ai réalisé que ma situation EC2 est un peu différente: iptables _ ne fonctionne pas si votre serveur est dans un cluster derrière un équilibreur de charge élastique (ELB) - l'adresse IP du exemple sait que c'est celui de l'ELB.

Si vous avez votre ELB configuré dans une configuration plus moderne, voir cette réponse SO: https://stackoverflow.com/questions/20123308/how-to-configure-aws-elb-to-block -Certaines-ip-adresses-adresses-spammeurs

Dans notre cas, nous n'avions pas eu de choses bien installées, alors je devais utiliser Apache, qui peut rechercher le X-FORWARDED-FOR En-tête et bloquer les adresses IP de cela.

Ajoutez ceci à votre configuration Apache (peut-être dans un bloc virtualHost):

RewriteEngine On
RewriteCond %{HTTP:X-FORWARDED-FOR] ^46\.242\.69\.216
RewriteRule .* - [F]

Cela vérifiera l'en-tête qui est défini par l'ELB

Enregistrez la configuration, testez avec Apache2ctl -t Pour Debian/Ubuntu (ou apachectl -t Pour RHEL), puis redémarrez Apache.

Cela envoie juste un 403 Forbidden

Blocage du trafic provenant d'une seule gamme IP/IP dans AWS

1. Ouvrez votre tableau de bord VPC
2. Ouvrez la vue "Réseau ACLS"
3. Ouvrez l'éditeur ACL
4. Ajouter une règle pour bloquer le trafic

Voici un tutoriel rapide: http://chopmo.dk/posts/2015/06/13/blocking-Traffic-in-aws.html