Amazon web services 阻塞IP'；s使用AWS WAF，以便只有连接到VPN的用户才能访问CloudFront_Amazon Web Services_Ip_Openvpn_Web Application Firewall_Amazon Waf

Amazon web services 阻塞IP'；s使用AWS WAF，以便只有连接到VPN的用户才能访问CloudFront

amazon-web-services ip

Amazon web services 阻塞IP'；s使用AWS WAF，以便只有连接到VPN的用户才能访问CloudFront,amazon-web-services,ip,openvpn,web-application-firewall,amazon-waf,Amazon Web Services,Ip,Openvpn,Web Application Firewall,Amazon Waf,目标：使用AWS WAF过滤到达CloudFront的流量，以便只有连接到OpenVPN网络的用户才能访问web应用程序 OpenVPN将任何连接的用户分配到网络范围为172.xx.yyy.z/a的IP 因此，我通过WAF规则将该范围列为Web ACL的白名单，并将任何其他IP列入黑名单但是，我无法访问该网站通过CloudWatch可以清楚地看出，这是因为VPN分配的IP实际上没有被用于访问web应用程序。这是一个经过修改的IP，与我的设备的公共IP非常相似就我所见，我无法确定这些“自定

目标： 使用AWS WAF过滤到达CloudFront的流量，以便只有连接到OpenVPN网络的用户才能访问web应用程序

OpenVPN将任何连接的用户分配到网络范围为172.xx.yyy.z/a的IP
因此，我通过WAF规则将该范围列为Web ACL的白名单，并将任何其他IP列入黑名单
但是，我无法访问该网站

通过CloudWatch可以清楚地看出，这是因为VPN分配的IP实际上没有被用于访问web应用程序。这是一个经过修改的IP，与我的设备的公共IP非常相似

就我所见，我无法确定这些“自定义”ip的范围。鉴于此，我如何确保只有VPN连接的用户才能访问该站点

我错过了什么重要的事情吗？感谢您对解决此问题的任何帮助

谢谢

172.16.0.0/12 IP地址为（172.16.0.0--172.31.255.255），不能在公共internet上路由

如果您所指的IP在此范围内，则这是专用网络（即VPN隧道）上的地址。VPN远端的设备将可以访问互联网，并具有公共IP地址，该地址可在公共互联网上路由，以及CloudFront可以看到的内容

您需要知道访问者使用的VPN服务的所有公共IP CIDR块，否则无法按IP进行阻止

尽管您可以通过HTTP头进行限制。如果您检查通过的连接（没有WAF），您可以从请求中了解这一点。

最终的解决方案是确保所有流量都通过OpenVPN强制

这意味着任何连接到VPN的人都将拥有分配给VPN服务器的公共IP

因此，该IP是唯一允许通过WAF访问站点的IP。

当你说“OpenVPN网络”时，你的确切意思是什么？我非常熟悉OpenVPN软件，但这听起来像是在使用第三方服务。“这是一个经过修改的IP，与我的设备的公共IP非常相似。”这不太可能是一个准确的观察结果，除非是巧合的相似性。