Amazon ec2 如何在Amazon Lightsail上列出IP地址的白名单
我使用Amazon Lightsail部署了一个wordpress站点,它的工作非常出色。现在,我需要将端口80上可以访问的IP地址限制为与SiteLock防火墙相关联的IP地址,我正在寻找最好、最干净的解决方案 在Lightsail简化版的世界中,我只能打开或关闭一个供公众访问的端口Amazon ec2 如何在Amazon Lightsail上列出IP地址的白名单,amazon-ec2,amazon-lightsail,sitelock,Amazon Ec2,Amazon Lightsail,Sitelock,我使用Amazon Lightsail部署了一个wordpress站点,它的工作非常出色。现在,我需要将端口80上可以访问的IP地址限制为与SiteLock防火墙相关联的IP地址,我正在寻找最好、最干净的解决方案 在Lightsail简化版的世界中,我只能打开或关闭一个供公众访问的端口 我现在唯一的想法是通过SSH登录并使用iptables,但我想知道这是我唯一能做到这一点的方法,还是有更“聪明”的东西。这就是我提出的,实际上是可行的,但使用iptables,我不确定这是不是最好的选择,因此,这
我现在唯一的想法是通过SSH登录并使用
iptables
,但我想知道这是我唯一能做到这一点的方法,还是有更“聪明”的东西。这就是我提出的,实际上是可行的,但使用iptables
,我不确定这是不是最好的选择,因此,这个问题仍然有待找到更好的解决方案
由于SiteLock网站表示允许以下IP范围:
SiteLock防火墙IP范围
199.83.128.0/21
198.143.32.0/19
149.126.72.0/21
103.28.248.0/22
45.64.64.0/22
185.11.124.0/22
192.230.64.0/18
107.154.0.0/16
2a02:e980::/29
我创建了一个脚本来允许它们,然后使用显式的DROP
规则关闭所有其余的脚本
sudo iptables -A INPUT -p tcp -s 199.83.128.0/21 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 198.143.32.0/19 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 149.126.72.0/21 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 103.28.248.0/22 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 45.64.64.0/22 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 185.11.124.0/22 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 192.230.64.0/18 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 107.154.0.0/16 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 2a02:e980::/29 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j DROP
现在,IP可以从AWS控制台本身被列入白名单。转到控制台中的Lightsail实例,然后连接。在那里,您可以选择要打开的端口,若要将IP列入白名单,请选中“限制到IP”。然后输入列出的IP或范围并保存
参考资料:LighMail不允许像EC2那样通过安全组进行基于源IP的细粒度控制,因此。。。假设这些规则达到了您的目的,这就是解决方案。谢谢@Michael sqlbot,是的,这确实有效,但我将继续希望找到更好的解决方案,即使采用不同的方法