当我从我的计算机 ping RDS 端点时,它显示 RDS 的私有 IP
When I ping the RDS endpoint from my computer it shows the Private IP of the RDS
我们正在尝试配置一个 VPC,它有一个私有子网和一个 public 子网。在私有子网中有一个 public 不可访问的 RDS。我们已经对其进行了测试,似乎可以正常工作!问题在于,当我从我的计算机对 RDS 端点执行 ping 操作时,它 returns RDS 的私有 IP(虽然它不是 returns 任何数据包)。
我们不想显示私有 IP。
如有任何帮助,我们将不胜感激!
第一个问题:你为什么要做这个?您的 10.1.2.3 或 172.31.2.3 或其他地址是不可路由的地址。人家进不去你的VPC,人家知不知道真的无所谓
至于实际阻止它,您不能:亚马逊通过 DNS 提供端点(您可以使用 nslookup 找到它)。您可以随时尝试提交支持票,但我不希望有任何结果。
此外,仅供参考,端点的第二个组件与您的帐户相关。因此,在您的图像中,您编辑了不重要的信息,但保留了(可能)重要的信息。
如果不清楚,问题在于亚马逊如何解析 DNS 请求,而不是网络连接方式。这是一个 nslookup 调用我们的数据库实例之一的示例,该实例位于私有子网上 运行。这是来自我的 PC,不是 通过 VPN 或任何其他方式连接到 VPC:
> nslookup REDACTED.REDACTED.us-east-1.rds.amazonaws.com
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
Name: REDACTED.REDACTED.us-east-1.rds.amazonaws.com
Address: 10.1.56.119
我继续与我们的 AWS 支持团队聊天,征求他们的意见。基本上,这归结为他们如何托管 RDS 端点的 DNS 映射;默认情况下,它们是在 public 托管区域中创建的(不可修改)。因此,您可以通过 Internet 解析您的 RDS 端点(因为 映射 仅 public 托管),但实际上无法将任何数据路由到它。
如果这是一个问题,要解决它,您可以...跳过一些障碍:
An alternative will be to create a private hosted zone with a record
that points to the rds endpoint. (for example a private hosted zone
"xxxx.com" that has an alias record pointing to rds endpoint), in which case you will reach out to your rds instance
using xxxxx.com
但是,这实际上并没有禁止原始 AWS 创建的端点返回私有 IP,它只是允许您配置一个不返回私有 IP 的端点。
无论如何,泄露您的私有 IP 是无害的;数千台设备可能共享您的确切私有 IP。此信息与您有关的唯一方式是攻击者是否确实在您的网络中 - 那时......他们可以从那里查找 DNS 以获取 IP。
我们正在尝试配置一个 VPC,它有一个私有子网和一个 public 子网。在私有子网中有一个 public 不可访问的 RDS。我们已经对其进行了测试,似乎可以正常工作!问题在于,当我从我的计算机对 RDS 端点执行 ping 操作时,它 returns RDS 的私有 IP(虽然它不是 returns 任何数据包)。
我们不想显示私有 IP。
如有任何帮助,我们将不胜感激!
第一个问题:你为什么要做这个?您的 10.1.2.3 或 172.31.2.3 或其他地址是不可路由的地址。人家进不去你的VPC,人家知不知道真的无所谓
至于实际阻止它,您不能:亚马逊通过 DNS 提供端点(您可以使用 nslookup 找到它)。您可以随时尝试提交支持票,但我不希望有任何结果。
此外,仅供参考,端点的第二个组件与您的帐户相关。因此,在您的图像中,您编辑了不重要的信息,但保留了(可能)重要的信息。
如果不清楚,问题在于亚马逊如何解析 DNS 请求,而不是网络连接方式。这是一个 nslookup 调用我们的数据库实例之一的示例,该实例位于私有子网上 运行。这是来自我的 PC,不是 通过 VPN 或任何其他方式连接到 VPC:
> nslookup REDACTED.REDACTED.us-east-1.rds.amazonaws.com
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
Name: REDACTED.REDACTED.us-east-1.rds.amazonaws.com
Address: 10.1.56.119
我继续与我们的 AWS 支持团队聊天,征求他们的意见。基本上,这归结为他们如何托管 RDS 端点的 DNS 映射;默认情况下,它们是在 public 托管区域中创建的(不可修改)。因此,您可以通过 Internet 解析您的 RDS 端点(因为 映射 仅 public 托管),但实际上无法将任何数据路由到它。
如果这是一个问题,要解决它,您可以...跳过一些障碍:
An alternative will be to create a private hosted zone with a record that points to the rds endpoint. (for example a private hosted zone "xxxx.com" that has an alias record pointing to rds endpoint), in which case you will reach out to your rds instance using xxxxx.com
但是,这实际上并没有禁止原始 AWS 创建的端点返回私有 IP,它只是允许您配置一个不返回私有 IP 的端点。
无论如何,泄露您的私有 IP 是无害的;数千台设备可能共享您的确切私有 IP。此信息与您有关的唯一方式是攻击者是否确实在您的网络中 - 那时......他们可以从那里查找 DNS 以获取 IP。