【发布时间】:2018-09-13 19:49:04
【问题描述】:
- 我有一个在 OPNsense 防火墙后面运行的 Web 应用程序
- 防火墙允许所有 https 流量到 api.mailgun.net
- webapp 调用 api.mailgun.net 但解析与防火墙不同
似乎 api.mailgun.net 会定期解析为一组不同的 IP。我试图寻找已知的 IP,但找不到任何东西。
【问题讨论】:
标签: api mailgun whitelist opnsense
【发布时间】:2018-09-13 19:49:04
【问题描述】:
我认为不可能向您的防火墙添加一条规则来动态检查连接是否会指向解析为该 IP 的域。
但是,正如您已经尝试过的,将他们拥有的每个 IP 添加到防火墙是一种解决方案。要获得所有可能的 IP,我会这样做:
// Find the authoritative nameserver
// Your local nameserver potentially only returns the cached, first record
$ dig api.mailgun.net IN SOA
;; AUTHORITY SECTION:
mailgun.net. 899 IN SOA ns-1447.awsdns-52.org. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400
// Query that for all the records
$ dig +short api.mailgun.net IN A @ns-1447.awsdns-52.org.
34.200.7.26
52.200.96.214
52.73.0.101
52.21.40.223
52.86.239.198
34.232.33.59
或者您只需要添加一个规则,允许您建立的连接的所有传入 TCP 响应流量。假设无论如何都允许所有传出流量。
为此,添加一个传入的 ACCEPT 规则,涵盖 Ephemeral Port Range:
- 源/目标 IP:任意
- 源端口:任意
- 目的港:32768-65535
- 协议:TCP
- TCP 标志:确认
【讨论】: