Рейтинг:0

Можно ли запретить маршрутизацию трафика на AWS ALB, если хост является IP-адресом, а не доменным именем?

флаг in

Я запускаю ALB на AWS с несколькими сертификатами SSL. Доменное имя динамически обрабатывается через приложение на EC2. В настоящее время ALB будет направлять запросы на IP-адрес ALB в приложение. Несмотря на то, что приложение имеет соответствующее исключение для этих запросов, это приводит к появлению ненужных записей во всех журналах запросов и WAF.

Моими первыми двумя мыслями были…

  1. Добавьте правило прослушивателя, которое блокирует IP-адреса. К сожалению, единственный способ сделать это — включить фильтр заголовка хоста. *.*.*.*. Это не сработает, поскольку мы можем обслуживать сайт для site.group.example.com.
  2. Пересылать запрос целевой группе только в том случае, если заголовок хоста соответствует одному из SSL-сертификатов, прикрепленных к прослушивателю. Проблема здесь в том, что я не могу найти способ выполнить такое правило.
Appleoddity avatar
флаг ng
То, что вы описываете, НЕ является тем, как обычно работает ALB.Вы настроили правило по умолчанию для пересылки в приложение, а не для сброса с помощью http 404. Или вы создали правило, которое включает эти запросы. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#listener-rules
Tim avatar
флаг gp
Tim
Вы говорите, что обращаетесь к ALB по IP-адресу? IP-адрес ALB меняется в случайное время, например, во время обслуживания или при масштабировании. Отправка всего из ALB в приложение - это не то, что я слышал, чтобы кто-то делал, это должно быть с использованием доменного имени / SLI.
Bryan Phillips avatar
флаг in
Спасибо. Это все имеет смысл и то, что я предполагал. Я могу и в настоящее время блокирую эти запросы на уровне приложения. Кажется, что наша единственная альтернатива заблокировать его до того, как он попадет в приложение, — это создать специфичные для домена правила для прослушивателя для каждого домена, на который будет отвечать приложение, а затем оставить правило по умолчанию для блокировки всего остального. Поскольку у меня есть несколько ALB, обслуживающих максимальное количество сертификатов SSL, каждый из которых я проверял более автоматизированный вариант. Я ценю время, которое вы потратили на комментарий.
Рейтинг:0
флаг in

Обновление этого ответа на основе комментариев. По сути, это ситуация «снять вопрос», поскольку решение состоит в том, чтобы перечислить все доменные имена в качестве фильтров и иметь окончательное правило по умолчанию, которое отклоняет запрос.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.