Получить IP-адреса экземпляров за ELB, чтобы добавить их в iptables
Что:
Мы используем iptables, и наш сервер ограничен только определенными портами и IP-адресами. Недавно у нас появилось требование открыть трафик для сторонней службы.
Однако сторонняя служба использует AWS со своими внутренними инстансами за ELB. Конечно, IP-адреса внутреннего экземпляра могут измениться в любой момент, поскольку они не статичны. В то же время Amazon не может дать определенный диапазон IP.
Как:
В идеале, если бы у нас был диапазон IP-адресов, мы могли бы добавить его в правила iptables, но у нас его нет И мы не можем добавить URL-адрес (по очевидным причинам, что это невозможно в iptables).
Я могу запустить команду dig для двух основных URL-адресов (api и основной сайт), которые предоставят мне большинство IP-адресов, но проблема в том, что он не принимает ВСЕ внутренних экземпляров.
Единственный способ найти IP-адреса - это просмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, все заработало ....
Можно ли каким-либо образом эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другую стороннюю службу?
Если это поможет, мы пытаемся использовать услугу Mollom:
www.mollom.com, У него есть И мы не можем добавить URL (по очевидным причинам, что это невозможно в iptables).
Я могу запустить команду dig для двух основных URL-адресов (api и основной сайт), которые предоставят мне большинство IP-адресов, но проблема в том, что он не принимает ВСЕ внутренних экземпляров.
Единственный способ найти IP-адреса - это просмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, все заработало ....
Можно ли каким-либо образом эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другую стороннюю службу?
Если это поможет, мы пытаемся использовать услугу Mollom:
www.mollom.com, t есть И мы не можем добавить URL (по очевидным причинам, что это невозможно в iptables).
Я могу запустить команду dig для двух основных URL-адресов (api и основной сайт), которые предоставят мне большинство IP-адресов, но проблема в том, что он не принимает ВСЕ внутренних экземпляров.
Единственный способ найти IP-адреса - это просмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, все заработало ....
Можно ли каким-либо образом эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другую стороннюю службу?
Если это поможет, мы пытаемся использовать услугу Mollom:
www.mollom.com,
Я могу запустить команду dig для двух основных URL-адресов (api и основной сайт), которые предоставят мне большинство IP-адресов, но проблема в том, что он не принимает ВСЕ внутренних экземпляров.
Единственный способ найти IP-адреса - это просмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, все заработало ....
Можно ли каким-либо образом эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другую стороннюю службу?
Если это поможет, мы пытаемся использовать услугу Mollom:
www.mollom.com,
Я могу запустить команду dig для двух основных URL-адресов (api и основной сайт), которые предоставят мне большинство IP-адресов, но проблема в том, что он не принимает ВСЕ внутренних экземпляров.
Единственный способ найти IP-адреса - это просмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, все заработало ....
Можно ли каким-либо образом эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другую стороннюю службу?
Если это поможет, мы пытаемся использовать услугу Mollom:
www.mollom.com,
Единственный способ найти IP-адреса - это просмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, все заработало ....
Можно ли каким-либо образом эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другую стороннюю службу?
Если это поможет, мы пытаемся использовать услугу Mollom:
www.mollom.com,
Единственный способ найти IP-адреса - это просмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, все заработало ....
Можно ли каким-либо образом эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другую стороннюю службу?
Если это поможет, мы пытаемся использовать услугу Mollom:
www.mollom.com, rest.mollom.com
Если вы просто используете REST API, он обычно отвечает с IP-адреса, с которым вы связались, иначе соединение HTTP TCP не будет работать. Но если вы на самом деле используете службу, которая создает внеполосные TCP-подключения обратно к исходному IP-адресу клиента или другому IP-адресу, то владельцы этого API должны предоставить вам список исходных IP-адресов, чтобы вы могли занести в белый список их, действительно нет лучшего способа обойти это.
Вы, вероятно, не получаете все IP-адреса от DNS, потому что некоторые из экземпляров, которые обмениваются данными с вашей службой, являются фоновыми работниками или окнами задач и т. Д. Без надежного способа определить, какие IP-адреса могут быть пытаясь получить доступ к вашему сервису, вы не сможете ограничить доступ по IP.
Вы можете использовать Amazon IP range API , чтобы открыть доступ ко всему этому региону AWS, но это несколько опровергает суть . Может быть, есть что-то уникальное в том, как они обращаются к вашему приложению, что вы могли бы использовать грубую форму общего секрета и ограничить доступ к похожим запросам (заголовок пользовательского агента, определенные параметры запроса и т. Д.)?