我试图在AWS的VPC中创建一些堡垒主机,以连接到位于私有子网中的数据库。我正在使用此aws Quick start。
我了解CIDR块的基本知识及其含义。但是,我不明白“允许的堡垒外部访问CIDR”参数对aws的含义。要引用文档,此参数表示以下含义:
“ CIDR块允许通过SSH外部访问堡垒主机。我们建议您将此值设置为受信任的CIDR块。例如,您可能想限制对公司网络的访问。”
我不知道该输入什么参数。他们是否需要将我的私有子网的IP范围连接到堡垒主机?或这是否意味着我在家中私人网络的范围?这是否意味着我无法从其他任何地方进入堡垒主机?显然,我想限制对堡垒主机的访问,但是我不希望只能在家中访问它们,因为我在不同的地方工作并且我们在办公室没有专用网络。
谢谢
答案 0 :(得分:1)
“ CIDR块允许通过SSH外部访问堡垒主机。我们建议您将此值设置为受信任的CIDR块。例如,您可能想限制对公司网络的访问。”
从更高层次上讲,CIDR块的更为简化的视图是它是一个IP地址范围,以CIDR格式表示,并且该指南实际上是在告诉您设置要允许连接的IP地址范围到您的堡垒主机。还要提醒您仅将其设置为受信任的CIDR块,这可以是您的公司网络,您自己的IP地址,也可以是您的私有子网的CIDR块范围。
如果您的私有子网CIDR为10.0.0.0/8,并且将允许连接到堡垒的CIDR块设置为该子网,则您将允许从子网10.0.0.0-10.255中的任何IP地址连接到堡垒.255.255;这是子网中大约1670万个允许连接的IP;假设没有其他入站规则,则只有私有子网中IP地址在该范围内的服务才能连接到堡垒。您可以在安全组中指定多个入站规则,这将允许您从不同的位置(例如家庭或办公室)进行连接,但是,如果这些位置具有动态IP地址,则如果IP地址发生更改,则需要更新安全组
话虽如此,即使它是一个私有子网,也没有外部访问权限,最佳做法是明确使用允许连接到您的堡垒的IP地址。这样可以提高安全性,减少潜在的攻击面,并减少错误的可能性。
答案 1 :(得分:0)
“允许的堡垒外部访问CIDR”参数-主机的CIDR,您将从此处通过SSH连接到堡垒主机。我以/ 32的形式使用笔记本电脑的IP作为CIDR来限制访问。如果IP是动态的,那么hephalump的答案是正确的,只要您想通过SSH连接到堡垒主机,就可以从AWS控制台编辑安全组。如果您不想更改安全组,则需要其他选项以在家庭网络中拥有静态IP,例如docker容器或桥接到您的主机网络的VirtualBox VM。