2 votes

Cloudflare : Liste blanche HTTP uniquement*

Comment puis-je mettre sur une liste blanche UNIQUEMENT Cloudflare pour le trafic entrant sur les ports 80/443 pour leurs adresses IP (trouvées ici) ? https://www.cloudflare.com/ips ), MAIS en laissant passer tout le trafic HTTP que nous avons initié, comme les demandes d'API à distance dont nous avons besoin d'une réponse.

Exécuter Amazon Linux sur EC2.

Merci

2voto

Tim Points 28848

Vous avez deux options principales :

  • ACL de réseau (NACLs). Elles ressemblent davantage à un pare-feu traditionnel, elles fonctionnent sur le réseau et empêchent le trafic d'atteindre le serveur ou l'instance s'il n'est pas autorisé. Il y a un nombre limité de règles, qui, de mémoire, est inférieur au nombre de serveurs CloudFlare. Ils sont sans état et vous devez donc ajouter des règles entrantes et sortantes.
  • Groupes de sécurité . Il s'agit d'un pare-feu dynamique fonctionnant sur l'instance. Si vous définissez une règle, le trafic de réponse est automatiquement autorisé. Il y a une limite de règles plus élevée que les NACLs.

Vous avez besoin que le groupe de sécurité associé à votre instance EC2 dispose des adresses IP de CloudFlare et de vos propres adresses IP, permettant l'accès sur les ports requis. Je l'ai fait, c'est facile.

Vous pouvez bien sûr effectuer vos demandes d'API via CloudFlare, mais la méthode directe est probablement légèrement plus rapide et plus fiable.

CloudFormation

La configuration de toutes les adresses IP de CloudFlare peut nécessiter quelques copier-coller - peut-être dix minutes, donc pas si mal. Si vous voulez apprendre un peu de CloudFormation, vous pouvez automatiser la création et la mise à jour du groupe de sécurité avec les adresses IP CloudFlare. S'ils ajoutent plus d'IP, il suffit de mettre à jour votre script et de l'exécuter à nouveau. Il est généralement préférable de créer votre VPC, vos sous-réseaux, votre groupe de sécurité, vos règles, etc. dans le script de CloudFormation. Si vous ne voulez pas recommencer, alors vous pouvez lui faire faire référence à des ressources existantes. Je pourrais ajouter un script qui vous donnerait un point de départ, mais cela prendrait un peu de temps pour le peaufiner.

Si vous ne connaissez pas CloudFormation, il vous faudra peut-être un jour ou deux pour le faire fonctionner, mais pour un environnement de production, cette méthode présente de nombreux avantages.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X