Pregunta:
Sé que un cierto rango de direcciones IP está causando problemas con mi servidor, 172.64.*.* ¿ 172.64.*.* es la mejor manera de bloquear el acceso a mi instancia Amazon EC2? ¿Hay alguna forma de hacer esto usando grupos de seguridad o es mejor hacerlo con el firewall en el servidor mismo?
Respuesta:
Bloquea el tráfico tanto en el servidor como en el firewall si es posible, por si acaso.
Los grupos de seguridad son buenos porque son externos a su host, por lo que los datos nunca le llegan. Sin embargo, no son tan configurables como la mayoría de los firewalls basados en servidores.
Desafortunadamente, los grupos de seguridad de EC2 solo pueden "permitir" servicios a través de una política de denegación predeterminada. Entonces, si está tratando de bloquear el acceso a un servicio "permitido" públicamente para un rango de IP pequeño, construir la regla de permiso para "el resto de Internet" es un poco más complejo que simplemente bloquear un rango de IP. Como ha especificado una gran parte, la lista de rangos de red que no incluye 172.64.0.0/16 no es demasiado larga:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
Esta lista debería agregarse para su (s) puerto (s). Luego, puede eliminar su regla 'permitir todo' para ese puerto. Si tiene varios puertos para los que desea hacer esto que no son contiguos, la lista deberá ingresar varias veces. Si tiene varios grupos de seguridad, esto puede volverse inmanejable rápidamente.
El firewall local también funcionará. iptables está disponible en la AMI de Amazon predeterminada, y todas las distribuciones de Linux
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
Después de agregar sus reglas, deberá guardarlas y asegurarse de que el servicio iptables inicie en el arranque.
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
El archivo de configuración para guardar variará con las distribuciones.
Usar una LCA de red de VPC
Si usa una VPC para sus instancias, puede especificar "ACLS de red" que funcionen en su subred. Las ACL de red le permiten escribir reglas de permitir y denegar, por lo que le recomiendo hacerlo de esta manera.