最佳实践

 

仅对白名单 IP 开放公网访问

更新时间 2023-09-06

本文介绍如何通过配置安全组规则实现向指定 IP 提供公网访问服务。

操作场景

用户在通过 DNAT 功能实现对外提供公网服务后,希望仅对指定的的某一(多)个或某一(多)个网段的 IP 提供公网访问,限制其他地址访问。此时,可通过配置安全组规则中的源 IP 实现。

前提条件

已通过 NAT 网关的 DNAT 功能,实现对外提供公网服务。具体操作,请参见通过 DNAT 功能实现对外提供公网服务

本示例中,假设已完成如下配置:

使用 DNAT 功能,将公网端口 2222 的请求,转发到内网云服务器(内网 IP:192.168.0.2)的 22 端口,并已在安全组添加 2222 端口的下行规则,实现了通过 2222 端口访问内网云服务器 22 端口。

操作步骤

指定某一个或某一网段的 IP 可访问

例如:仅希望 58.19.101.0/24 网段的 IP 可访问。

  1. 找到 NAT 网关绑定的安全组,点击安全组 ID,进入安全组规则详情页。

  2. 勾选 2222 端口下行规则,点击修改,修改安全组规则。

  3. 配置源 IP 为允许访问的 IP,如下图所示。 源 IP 可以是某一个 IP 或某个网段。

  4. 点击提交,然后点击应用修改

指定多个或多网段的 IP 可访问

例如:仅希望 45.21.23.22259.212.11.22 这两个 IP 可访问。

  1. 安全 > 安全组页面,点击 IP/端口集合标签页。

  2. 点击创建,创建一个 IP 集合。

  3. 配置IP 地址为允许访问的 IP,如下图所示。

  4. 点击提交

  5. 点击安全组标签页,找到 NAT 网关绑定的安全组,点击安全组 ID,进入安全组规则详情页。

  6. 勾选 2222 端口下行规则,点击修改,修改安全组规则。

  7. 配置源 IP 为刚刚创建的 IP 集合,如下图所示。

  8. 点击提交,然后点击应用修改

这篇文档解决了您的问题吗?
0
0