Con un server web (apache o nginx) sono in grado di trovare l'intestazione x-forwarded-for e trovare l'IP del client piuttosto che l'IP del ELB.Come ottenere l'IP del client dietro un ELB AWS?
Posso fare la stessa cosa utilizzando IPTables in modo che sia possibile bloccare determinati indirizzi IP?
Posso farlo a livello di server web. Tuttavia, penso che questo sia un po 'inefficiente e spero di riuscire a farlo con le tabelle IP o qualcosa di simile?
Non è possibile farlo con iptables, poiché iptables vedrà sempre solo l'indirizzo IP del bilanciamento del carico elastico, poiché l'ELB è ciò che stabilisce le connessioni all'istanza.
L'utilizzo del server Web per bloccare determinati valori x-forwarded-for non è particolarmente inefficiente, ma se si desidera controllare chi può accedere al proprio ELB per indirizzo IP, è possibile farlo anche con il gruppo di sicurezza collegato al ELB.
Aggiornamento: Il tuo commento è parzialmente corretto, perché, almeno fin d'ora, ELB su EC2 "classico" non supporta un elenco di controllo in entrata gruppo di protezione o di accesso alla rete, ma ELB su VPC fa.
D: Posso configurare un gruppo di sicurezza per il front-end di Elastic Load Balancer?
Se si utilizza Amazon Virtual Private Cloud, è possibile configurare i gruppi di sicurezza per il front-end di Elastic Load Balancer. — http://aws.amazon.com/ec2/faqs/#ELB6
gruppi di protezione sono più facili da utilizzare quando è necessario per consentire a un insieme relativamente piccolo di specifici intervalli di indirizzi IP. Se si desidera consentire la maggior parte, ma bloccare alcuni, quindi un VPC Network Access Control List è l'approccio più facile.
Dal 30 luglio ELB supporta Proxy Protocol. Come indicato nella fine del this thread in the AWS forum:
carico elastico Balancing (ELB) supporta ora protocollo Proxy versione 1. Questa funzione consente di identificare la connessione del client informazioni quando si utilizza il bilanciamento del carico TCP, fornendo ulteriori spaccato visitatori delle tue applicazioni. Avere queste informazioni può essere utile per analizzare i registri di traffico, raccogliere le statistiche di connessione , risoluzione dei problemi o gestire whitelist di indirizzi IP.
È necessario enable Proxy Protocol in the ELB.
Il developers guide ha ulteriori informazioni sul protocollo proxy.
Solo una nota: il protocollo proxy è necessario solo quando si usano ascoltatori 'TCP'. Per gli ascoltatori di 'HTTP' puoi ancora usare l'intestazione' X-Forwarded-For'. –
È ancora così? il collegamento non funziona:/ –
Quale link non funziona? –
Un ELB non ha gruppi di sicurezza, giusto? Almeno non puoi aggiungere/rimuovere IP. – Abs