使用 NACL 阻止流量
Using NACL to Block traffic
我在 EC2 实例上有一个连接到网站 (github.com) 的应用程序以下载应用程序存储库(比如每周三次或更频繁)。
我喜欢使用 NACL 阻止对我的 VPC 的访问;因此,除了来自该网站 github.com(考虑到 NACL 是无状态的)之外,没有流量可以通过。
我面临的问题是我无法使用 NACL 将网站列入白名单;因为基于 IP 的方法不可行(IP 总是在变化)。
有人可以建议我们可以在此处应用的更好的解决方案或修复程序吗?
NACL 无法解析 DNS,因为这需要包含有关 HTTP 协议详细信息的进一步 OSI 层。
您可以在这里做的一个选择是将您的 EC2 实例放在 NAT 网关 后面,从而有效地将它放在一个私有子网中,并且它会转换为一个 IP,它不会面对 public 互联网时发生变化,例如弹性 IP。这样,您将能够在引用一致的 IP 地址的同时保护您的 EC2 实例。
另一种选择是使用 ssh-keygen 生成 public 和私钥对,然后您将其复制到相应的 git 存储库(SSH 密钥),然后阻止任何建立 one-to-one 信任后的其他协议和流量。 post 中很好地解决了此问题的更安全版本:EC2 can't SSH into github
我在 EC2 实例上有一个连接到网站 (github.com) 的应用程序以下载应用程序存储库(比如每周三次或更频繁)。
我喜欢使用 NACL 阻止对我的 VPC 的访问;因此,除了来自该网站 github.com(考虑到 NACL 是无状态的)之外,没有流量可以通过。
我面临的问题是我无法使用 NACL 将网站列入白名单;因为基于 IP 的方法不可行(IP 总是在变化)。 有人可以建议我们可以在此处应用的更好的解决方案或修复程序吗?
NACL 无法解析 DNS,因为这需要包含有关 HTTP 协议详细信息的进一步 OSI 层。
您可以在这里做的一个选择是将您的 EC2 实例放在 NAT 网关 后面,从而有效地将它放在一个私有子网中,并且它会转换为一个 IP,它不会面对 public 互联网时发生变化,例如弹性 IP。这样,您将能够在引用一致的 IP 地址的同时保护您的 EC2 实例。
另一种选择是使用 ssh-keygen 生成 public 和私钥对,然后您将其复制到相应的 git 存储库(SSH 密钥),然后阻止任何建立 one-to-one 信任后的其他协议和流量。 post 中很好地解决了此问题的更安全版本:EC2 can't SSH into github