仅对白名单 IP 开放公网访问
本文介绍如何通过配置安全组规则实现向指定 IP 提供公网访问服务。
操作场景
用户在通过 DNAT 功能实现对外提供公网服务后,希望仅对指定的的某一(多)个或某一(多)个网段的 IP 提供公网访问,限制其他地址访问。此时,可通过配置安全组规则中的源 IP 实现。
前提条件
已通过 NAT 网关的 DNAT 功能,实现对外提供公网服务。具体操作,请参见通过 DNAT 功能实现对外提供公网服务。
本示例中,假设已完成如下配置:
使用 DNAT 功能,将公网端口 2222 的请求,转发到内网云服务器(内网 IP:192.168.0.2)的 22 端口,并已在安全组添加 2222 端口的下行规则,实现了通过 2222 端口访问内网云服务器 22 端口。
操作步骤
指定某一个或某一网段的 IP 可访问
例如:仅希望 58.19.101.0/24
网段的 IP 可访问。
-
找到 NAT 网关绑定的安全组,点击安全组 ID,进入安全组规则详情页。
-
勾选 2222 端口下行规则,点击修改,修改安全组规则。
-
配置源 IP 为允许访问的 IP,如下图所示。 源 IP 可以是某一个 IP 或某个网段。
-
点击提交,然后点击应用修改。
指定多个或多网段的 IP 可访问
例如:仅希望 45.21.23.222
及 59.212.11.22
这两个 IP 可访问。
-
在安全 > 安全组页面,点击 IP/端口集合标签页。
-
点击创建,创建一个 IP 集合。
-
配置IP 地址为允许访问的 IP,如下图所示。
-
点击提交。
-
点击安全组标签页,找到 NAT 网关绑定的安全组,点击安全组 ID,进入安全组规则详情页。
-
勾选 2222 端口下行规则,点击修改,修改安全组规则。
-
配置源 IP 为刚刚创建的 IP 集合,如下图所示。
-
点击提交,然后点击应用修改。