Bloqueie o tráfego no servidor e no firewall, se possível, apenas por precaução.
Os grupos de segurança são bons porque são externos ao seu host, para que os dados nunca cheguem até você. Eles não são tão configuráveis quanto a maioria dos firewalls baseados em servidor.
Infelizmente, os grupos de segurança do EC2 só podem "permitir" serviços por meio de uma política de negação padrão. Portanto, se você está tentando bloquear o acesso a um serviço "permitido" publicamente para um pequeno intervalo de IP, criar a regra de permissão para "o resto da Internet" é um pouco mais complexo do que apenas bloquear um intervalo de IPs. Como você especificou um grande pedaço, a lista de intervalos de rede não incluindo 172.64.0.0/16 não é muito longa:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
Essa lista precisa ser adicionada para sua (s) porta (s). Em seguida, você pode excluir sua regra "permitir todos" para essa porta. Se você tem várias portas que você deseja fazer isso para que não sejam contíguas, a lista precisará ir em várias vezes. Se você tiver vários grupos de segurança, isso pode crescer rapidamente para ser incontrolável.
O firewall local também funcionará. iptables
está disponível no Amazon AMI padrão e todas as distribuições do Linux
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
Depois de adicionar suas regras, você precisará salvá-las e garantir que o serviço iptables
seja iniciado na inicialização.
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
O arquivo de configuração para salvar varia com as distribuições.
Usando um VPC
Se você usar uma VPC para suas instâncias, poderá especificar "Network ACLS" que funcionam na sua sub-rede. As ACLs de rede permitem que você escreva regras de permissão e negação, portanto, recomendamos que você faça isso dessa maneira.