Bloquez le trafic sur le serveur et le pare-feu si possible, au cas où.
Les groupes de sécurité sont bons car ils sont externes à votre hôte, donc les données ne vous parviennent jamais. Cependant, ils ne sont pas aussi configurables que la plupart des pare-feu basés sur serveur.
Malheureusement, les groupes de sécurité EC2 ne peuvent «autoriser» que les services via une stratégie de refus par défaut. Donc, si vous essayez de bloquer l'accès à un service public "autorisé" pour une petite plage IP, la construction de la règle d'autorisation pour "le reste d'Internet" est un peu plus complexe que de simplement bloquer une plage IP. Comme vous avez spécifié un joli gros morceau, la liste des plages réseau n'incluant pas 172.64.0.0/16 n'est pas trop longue:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
Cette liste devrait être ajoutée pour vos ports. Ensuite, vous pouvez supprimer votre règle «autoriser tout» pour ce port. Si vous avez plusieurs ports pour lesquels vous ne voulez pas qu'ils soient contigus, leur liste devra entrer plusieurs fois. Si vous avez plusieurs groupes de sécurité, cela peut rapidement devenir ingérable.
Le pare-feu local fonctionnera également. iptables
est disponible sur Amazon AMI par défaut, et toutes les distributions Linux
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
Après avoir ajouté vos règles, vous devrez les enregistrer et vous assurer que le iptables
service démarre au démarrage.
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
Le fichier de configuration dans lequel enregistrer varie en fonction des distributions.
Utilisation d'un VPC
Si vous utilisez un VPC pour vos instances, vous pouvez spécifier «ACLS réseau» qui fonctionne sur votre sous-réseau. Les listes de contrôle d'accès réseau vous permettent d'écrire des règles d'autorisation et de refus, je vous recommande donc de le faire de cette façon.