Блокировка IP-адресов с помощью AWS WAF, так что только пользователи, подключенные к VPN, могут получить доступ к CloudFront - PullRequest
Новая
       39

Блокировка IP-адресов с помощью AWS WAF, так что только пользователи, подключенные к VPN, могут получить доступ к CloudFront

0 голосов
/ 25 октября 2018

Цель: Использование AWS WAF для фильтрации трафика, который попадает в CloudFront, так что только пользователи, подключенные к сети OpenVPN, могут получить доступ к веб-приложению.

OpenVPN назначает любому подключенному пользователю IP-адресв диапазоне сети 172.xx.yyy.z / a.
Поэтому я внес белый список в этот диапазон с помощью правила WAF в веб-ACL и внес в черный список любые другие IP-адреса.
Однако я не могу получить доступ к сайту.

При просмотре CloudWatch становится ясно, что это связано с тем, что IP-адрес, назначенный VPN, фактически не используется для доступа к веб-приложению.Это модифицированный IP-адрес, который очень похож на публичный IP-адрес моего устройства.

Насколько я понимаю, я не могу определить диапазон для этих "пользовательских" ip.Учитывая это, как я могу обеспечить доступ к сайту только пользователям, подключенным к VPN?

Я что-то упустил?Любая помощь в решении этой проблемы приветствуется.

Спасибо!

Ответы [ 2 ]

0 голосов
/ 17 января 2019

Конечным решением было убедиться, что весь трафик проходил через OpenVPN.

Это означало бы, что любой, подключающийся к VPN, будет иметь общедоступный IP-адрес, назначенный VPN-серверу.

Следовательно, этот IP-адрес был единственным, которому разрешен доступ к сайту через WAF.

0 голосов
/ 25 октября 2018

172.16.0.0 / 12 IP-адреса являются частными адресами (172.16.0.0 - 172.31.255.255) и не маршрутизируются в общедоступном Интернете.

Если IP-адрес, на который вы ссылаетесьнаходится в этом диапазоне, то это адрес в частной сети, то есть VPN-туннель.Устройство на дальнем конце VPN будет иметь доступ к Интернету и будет иметь общедоступный IP-адрес, который можно маршрутизировать в общедоступном интернете, и то, что видит CloudFront.

Вам необходимо знать все общедоступныеIP CIDR блокирует VPN-сервисы, которые используют ваши посетители, в противном случае вы не можете заблокировать по IP.

Хотя вы можете ограничить его с помощью HTTP-заголовка.Если вы изучите соединения, проходящие через (без WAF), вы можете узнать об этом из запросов.

...