我使用Amazon Lightsail部署wordpress网站,它就像一个魅力。现在我需要将可以在端口80上访问的IP地址限制为与SiteLock相关联的防火墙的IP地址,我正在寻找最好,最干净的解决方案。
在Lightsail简化版本的世界中,我只能打开一个端口进行公共访问,或者关闭它。
我现在唯一的想法是通过SSH登录并使用iptables,但我想了解这是否是我能做到这一点的唯一方法,或者有什么"更聪明&#34 ;
答案 0 :(得分:3)
这是我提出的,实际上有效,但使用iptables,我不确定是最好的选择,所以问题仍然是开放的,以获得更好的解决方案。
由于SiteLock网站表示允许这些IP范围:
SiteLock防火墙IP范围
199.83.128.0/21
198.143.32.0/19
149.126.72.0/21
103.28.248.0/22
45.64.64.0/22
185.11.124.0/22
192.230.64.0/18
107.154.0.0/16
2A02:E980 :: / 29
我创建了一个允许所有内容的脚本,然后使用明确的DROP规则关闭所有其他内容
sudo iptables -A INPUT -p tcp -s 199.83.128.0/21 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 198.143.32.0/19 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 149.126.72.0/21 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 103.28.248.0/22 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 45.64.64.0/22 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 185.11.124.0/22 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 192.230.64.0/18 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 107.154.0.0/16 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 2a02:e980::/29 --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j DROP
答案 1 :(得分:0)
现在,可以从AWS控制台本身将IP列入白名单。在控制台中转到您的Lightsail实例,然后进入网络。在此处,您可以选择要打开的端口,并将IP列入白名单,请选中“限制为IP”。然后输入列出的IP或范围并保存。
参考:https://lightsail.aws.amazon.com/ls/docs/en_us/articles/amazon-lightsail-editing-firewall-rules