Какой:
Мы используем iptables, и наш сервер ограничен только определенными портами и IP-адресами. Недавно у нас появилось требование открыть трафик для сторонней службы.
Однако сторонний сервис использует AWS со своими внутренними инстансами за ELB. Конечно, IP-адреса внутреннего экземпляра могут измениться в любой момент, поскольку они не статичны. В то же время Amazon не может дать определенный диапазон IP.
Как:
В идеале, если бы у нас был диапазон IP-адресов, мы могли бы добавить его в правила iptables, но у нас его нет. И мы не можем добавить URL (по очевидным причинам, это невозможно в iptables).
Я могу запустить копать землю команда против двух основных URL-адресов (api и основной сайт), которая даст мне большую часть IP-адресов, но проблема в том, что она не принимает ВСЕ внутренних экземпляров.
Единственный способ найти IP-адреса - это посмотреть журналы, чтобы увидеть, какие из них блокируются. Как только я добавил правила для этих IP-адресов, он начал работать ....
Есть ли способ эффективно написать сценарий? Или мы должны отказаться от использования iptables .... или найти другой сторонний сервис?
В случае, если это поможет, мы пытаемся воспользоваться услугой Mollom:
www.mollom.com, rest.mollom.com
Если вы просто используете REST API, он обычно отвечает с IP-адреса, с которым вы связались, иначе соединение HTTP TCP не будет работать. Но если вы на самом деле используете службу, которая создает внеполосные TCP-подключения обратно к исходному IP-адресу клиента или другому IP-адресу, тогда владельцы этого API должны предоставить вам список исходных IP-адресов, чтобы вы могли внести в белый список их, действительно нет лучшего способа обойти это.
Вероятно, вы не получаете все IP-адреса от DNS, потому что некоторые из экземпляров, которые взаимодействуют с вашей службой, являются фоновыми рабочими или блоками задач и т. Д. иметь возможность ограничивать доступ по IP.
Вы можете использовать Amazon API диапазона IP чтобы открыть доступ ко всему региону AWS, но это в некоторой степени противоречит сути. Возможно, есть что-то уникальное в том, как они обращаются к вашему приложению, что вы могли бы использовать грубую форму общего секрета и ограничивать доступ к похожим запросам (заголовок пользовательского агента, определенные параметры запроса и т. Д.)?