Могу ли я использовать WAF, чтобы проверить, поступает ли запрос из VPC?

avatar
Rahul Rentash
8 августа 2021 в 23:15
92
0
0

У меня есть VPC, и я хочу использовать WAF в облачном дистрибутиве, чтобы убедиться, что мой запрос исходит из VPC. Как мне это сделать?

Источник
John Rotenstein
8 августа 2021 в 23:20
0

Amazon CloudFront находится за пределами VPC. Не имеет смысла отправлять запросы из VPC в CloudFront, только чтобы вернуться в VPC. Не могли бы вы подробнее объяснить свою действительную цель (то есть чего вы хотите достичь, а не как)?

Rahul Rentash
8 августа 2021 в 23:36
0

@JohnRotenstein Я хочу сделать так, чтобы только при подключении к VPN я мог получить доступ к своему дистрибутиву Cloudfront. Я вижу, что вы можете добавить набор IP-адресов, но я не знаю, как добавить туда IP-адрес. Это мой частный IP-адрес VPN?

John Rotenstein
8 августа 2021 в 23:38
0

В чем преимущество доступа к CloudFront через VPN-подключение? Весь трафик будет поступать из одного места, что лишает всех преимуществ, которые Amazon CloudFront предлагает в качестве глобальной CDN.

Rahul Rentash
8 августа 2021 в 23:40
0

@JohnRotenstein Lol - не думал об этом. Можно ли добавить правила WAF непосредственно в корзину S3? Как мне сделать так, чтобы моя корзина S3 разрешала трафик только с моего IP-адреса VPN?

John Rotenstein
8 августа 2021 в 23:44
0

Вы можете создать политику сегментов с правилом Allow, которое разрешает доступ с определенного IP-адреса. См.: Примеры политик сегментов — Amazon Simple Storage Service Совет: Это помогает предоставить информацию о ПОЧЕМУ вы что-то делаете в Вопросе для достижения наиболее выгодного решения .

Rahul Rentash
8 августа 2021 в 23:46
0

@JohnRotenstein, я понимаю, но что это будет за ip? Будет ли это частный IP-адрес моего VPN? спасибо - супер полезно и будет делать в будущем.

John Rotenstein
8 августа 2021 в 23:47
0

Это будет IP-адрес, с которого «кажется» исходить трафик из вашей VPN. Вы можете увидеть его, если зайдете на whatismyipaddress.com через VPN.

Rahul Rentash
8 августа 2021 в 23:49
0

@JohnRotenstein Я попробовал, но IP-адрес, похоже, не меняется, когда я включаю или выключаю VPN. Я использую экземпляр OpenVPN. Любая причина, по которой это может быть? Спасибо еще раз!

John Rotenstein
9 августа 2021 в 00:36
0

Это говорит о том, что вы используете «разделенное туннелирование», когда трафик, предназначенный для целевой сети, проходит через VPN, но трафик в Интернет не проходит через ваше VPN-подключение. Итак, запрос исходит не от VPC.

gusto2
9 августа 2021 в 01:26
0

IP doesn't seem to change вам нужно запросить адрес у VPC, а не у вашей рабочей станции. Если вы хотите получить доступ к CDN с рабочей станции через VPN в VPC, вам нужно изменить маршрутизацию для dns.

Ответы (0)