如何配置 AWS ELB 以阻止某些 IP 地址？ （已知的垃圾邮件发送者）[关闭]

Posted 2023-02-25

【中文标题】如何配置 AWS ELB 以阻止某些 IP 地址？ （已知的垃圾邮件发送者）[关闭]

【英文标题】：How to configure AWS ELB to block certain IP addresses? (known spammers) [closed]

【发布时间】：2013-12-06 01:27:59

【问题描述】：

我正在寻找一种方法从亚马逊的弹性负载均衡器 (ELB) 上的已知垃圾邮件 IP 地址中删除连接？

我目前正在 Web 服务器级别执行此操作（多个实例，在 ELB 后面运行），但想知道是否有办法在 ELB 上执行此操作。这样，我可以避免为此配置每个 Web 服务器实例。

我通常每天从 Spamhause.org 提取 Drop List 并更新我的网络服务器配置

【问题讨论】：

更新 - 请参阅 AWS WAF，特别是：aws.amazon.com/blogs/security/…

【参考方案1】：

我会尝试为此使用 VPC ACL。首先，VPC 内的 ELB 可以使用Security Groups，但它们只指定您允许进出 ELB 的流量。要真正阻止来自某个 IP 的流量 - ACL 将是最好的。

为此 - 一对公共（面向互联网）和内部 ELB need to be used 具有受子网 ACL DENY 规则保护的内部 ELB。

【讨论】：

有趣。您能否详细说明或指向我更详细地解释这一点的文献？我之前从未使用过 VPC。此更改是否会使我的设置更难以管理？

User Guide 将是一个开始的地方。是的，引入 VPC 使设置更安全，但也更复杂，因此需要管理更多“活动部件”：ACLs、NAT、Internet Gateway 和 Route Tables。

在 EC2 经典（启动 EC2 实例的常用方式）中，实例始终在公共网络中启动。在 VPC 中，它们要么在公共网络中启动，要么在专用网络中启动。一旦进入私有网络 - 它们可以与外部世界完全隔离，并且只能通过 SSH 连接到公共网络中的特定盒子（通常是 SSH 网关）或如果 VPC 连接到内部组织（本地）网络，则没必要。

您可以将安全组与 ELB 关联，只要它位于 VPC 中即可。然后像往常一样指定安全组规则来阻止/允许流量

ACL 每个列表最多有 40 条规则。子网只能使用一种情欲。使任何真正的访问控制都不可行

【参考方案2】：

您不能从未在 VPC 内实例化的 ELB 执行此操作（在本答案发布之日）。如果在 VPC 内，请查看其他答案。如果没有，您可以切换到更可控的东西，例如 HAProxy 或将 CloudFlare (https://www.cloudflare.com/) 放在 ELB 前面，这可能是更好的选择。

【讨论】：

你可以用 ELB 做到这一点。 IAM 账户中的 ELB 可以关联一个 VPC，但仍使用普通安全组。

对于这种情况下的不一致，我深表歉意。指定不能对未与 VPC 关联的 ELB 执行此操作是否正确？

是的，我认为是这样

谢谢，Seb，我已经相应地编辑了我的答案。