【问题标题】:How do I make my security group accessible only to my IP address?如何使我的安全组只能访问我的 IP 地址?
【发布时间】:2019-08-18 18:06:27
【问题描述】:

我有一个用于运行 RServer 的 EC2 实例。我已经设置了我的安全组,但 AWS 向我发送了一条警告,说世界上任何人都可以访问我的 EC2 实例。

这是我的设置。

我有一个带有IPv4 CIDR 10.0.0.0/16 的 VPC。

我有两个子网,每个子网位于不同的可用区。它们都与 VPC 相关联。

它们都有相同的规则。

它们都连接到同一个互联网网关,该网关也连接到 VPC。

对于路由表,它们都有10.0.0.0/16 和目标local

它们还与另一个路由表有连接。它们中的每一个都与不同的路由表连接。

第一个连接到路由表 A,它有两条路由。它有10.0.0.0/16 local active Propagated: No0.0.0.0/0 active Propagated: No。第二条路由连接到与 VPC 相同的 Internet 网关。

第二个子网与路由表 B 连接,路由表 B 与路由表 A 具有相同的路由。

我还有一个安全组。它与 VPC 关联。它具有三个入站规则。第一个是类型:SSH,协议:TCP,端口范围:22,源是我的个人 IP 地址,后跟/32

第二个用于 RStudio Server,类型:自定义 TCP 规则,协议:TCP,端口范围:0.0.0.0/0,第三个也用于 RStudio Server,类型:自定义 TCP 规则,协议:TCP , 端口范围:::/0。

我还有一个具有默认设置的网络 ACL。它允许所有入站和出站流量。

【问题讨论】:

    标签: amazon-web-services security amazon-vpc


    【解决方案1】:

    您提供的图片适用于网络访问控制列表 (NACL),而不是安全组。一般来说,除非您真正了解网络,否则您永远不应该更改 NACL 配置

    相反,您应该将您的安全组配置为仅允许在所需端口上从您的 IP 地址进行入站访问。

    【讨论】:

    • 我很欣赏“如果您可以配置安全组,请避免使用 NACL”的指南。谢谢!
    【解决方案2】:

    我认为您的 RStudio IP 范围有误,即 0.0.0.0/0,为什么不限制为有限的 IP 而不是全局可访问的?就算是TCP,还是需要限制IP范围

    【讨论】:

    • 不知道我明白你在说什么。 RStudio IP 范围应该是多少?有人告诉我,8787 端口上的所有东西都可以访问它
    • @Cauder 0.0.0.0/0 表示“向世界开放”。仅将其打开到您需要访问的位置。
    • 甜蜜。我应该将该 IP 范围更改为仅我的 IP 地址。
    猜你喜欢
    • 1970-01-01
    • 2017-10-17
    • 2018-03-20
    • 2016-11-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-03-06
    • 2011-02-05
    相关资源
    最近更新 更多