Можно ли запретить маршрутизацию трафика на AWS ALB, если хост является IP-адресом, а не доменным именем?

Bryan Phillips

05.08.2023, 21:31

Я запускаю ALB на AWS с несколькими сертификатами SSL. Доменное имя динамически обрабатывается через приложение на EC2. В настоящее время ALB будет направлять запросы на IP-адрес ALB в приложение. Несмотря на то, что приложение имеет соответствующее исключение для этих запросов, это приводит к появлению ненужных записей во всех журналах запросов и WAF.

Моими первыми двумя мыслями были…

Добавьте правило прослушивателя, которое блокирует IP-адреса. К сожалению, единственный способ сделать это — включить фильтр заголовка хоста. *.*.*.*. Это не сработает, поскольку мы можем обслуживать сайт для site.group.example.com.
Пересылать запрос целевой группе только в том случае, если заголовок хоста соответствует одному из SSL-сертификатов, прикрепленных к прослушивателю. Проблема здесь в том, что я не могу найти способ выполнить такое правило.

0 + 0

ssl-сертификат

амазон-веб-сервисы

амазонка-альб

Appleoddity

06.08.2023, 04:25

То, что вы описываете, НЕ является тем, как обычно работает ALB.Вы настроили правило по умолчанию для пересылки в приложение, а не для сброса с помощью http 404. Или вы создали правило, которое включает эти запросы. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#listener-rules

Ответить

Tim

06.08.2023, 09:14

Вы говорите, что обращаетесь к ALB по IP-адресу? IP-адрес ALB меняется в случайное время, например, во время обслуживания или при масштабировании. Отправка всего из ALB в приложение - это не то, что я слышал, чтобы кто-то делал, это должно быть с использованием доменного имени / SLI.

Ответить

Bryan Phillips

06.08.2023, 13:03

Спасибо. Это все имеет смысл и то, что я предполагал. Я могу и в настоящее время блокирую эти запросы на уровне приложения. Кажется, что наша единственная альтернатива заблокировать его до того, как он попадет в приложение, — это создать специфичные для домена правила для прослушивателя для каждого домена, на который будет отвечать приложение, а затем оставить правило по умолчанию для блокировки всего остального. Поскольку у меня есть несколько ALB, обслуживающих максимальное количество сертификатов SSL, каждый из которых я проверял более автоматизированный вариант. Я ценю время, которое вы потратили на комментарий.

Ответить

Рейтинг:0

Server

Bryan Phillips

07.08.2023, 15:21

Обновление этого ответа на основе комментариев. По сути, это ситуация «снять вопрос», поскольку решение состоит в том, чтобы перечислить все доменные имена в качестве фильтров и иметь окончательное правило по умолчанию, которое отклоняет запрос.

0 + 0

Admin

Этот вопрос на других языках:

EN: Can you prevent routing traffic to an AWS ALB if the host is an IP address and not a domain name?

TH: คุณสามารถป้องกันการกำหนดเส้นทางทราฟฟิกไปยัง AWS ALB ได้หรือไม่ หากโฮสต์เป็นที่อยู่ IP ไม่ใช่ชื่อโดเมน

RO: Puteți împiedica rutarea traficului către un AWS ALB dacă gazda este o adresă IP și nu un nume de domeniu?

RU: Можно ли запретить маршрутизацию трафика на AWS ALB, если хост является IP-адресом, а не доменным именем?

VI: Bạn có thể ngăn lưu lượng truy cập định tuyến tới AWS ALB nếu máy chủ lưu trữ là địa chỉ IP chứ không phải tên miền không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.