Pao*_*olo 5 firewall ip amazon-s3
我为 Raspberry Pi 编写了一些程序,一些小公司对此表现出兴趣。我将预配置的 Raspberry Pi:s 出售给他们,并在他们身上安装了我的程序,它适用于除其中一家公司之外的所有人。他们有非常严格的政策,这是可以理解的。
我的程序使用亚马逊的 S3 服务。我已经给出了关于需要打开哪些端口和服务才能使程序运行、访问 S3 的说明,并且系统管理员对所有事情都说好,除了一件事:他们不能允许整个端口 443互联网。他们说,我需要指定 IP 范围。
我一直在做一些研究,似乎 S3 需要很大的 IP 范围才能工作,而且所需的 IP 地址不断增加。我发现的大多数文档都清楚地说明“需要打开端口 80 和端口 443”,并且 S3 服务器的 IP 地址各不相同。
你对我的建议有什么建议吗?是否有可以按域名 (*.amazonaws.com) 过滤的防火墙?或者还有什么我可以做的吗?是否有定期更新的 S3 官方 IP 范围列表?
您的任何帮助将不胜感激。谢谢。
在开始构建允许的 IP 范围之前,请确定区域。S3 区域列表可在此处获得。
假设您需要一个 IP 范围用于s3-us-west-2.amazonaws.com.
您可以通过在 Linux 系统上执行以下命令或在其他系统上执行等效命令来获得它。
获取域的 IP 地址:
$ host s3-us-west-2.amazonaws.com
s3-us-west-2.amazonaws.com has address 54.231.161.248
域将有多个关联的 IP 地址,这些 IP 地址可能位于不同的网络中。尝试多次运行此命令以查看返回的 IP 地址是否在同一网络中。如果没有,请尝试识别来自不同网络的 IP,并对所有此类 IP 运行以下命令。不幸的是,没有办法要求 DNS 服务器返回与特定域关联的所有 A 记录。
运行whois以获取有关 IP 地址的信息:
$ whois 54.231.161.248
...
NetRange: 54.230.0.0 - 54.231.255.255
CIDR: 54.230.0.0/15
...
Whois 输出将包含大量您不需要的额外信息,并且不同 IP 地址的输出可能会有所不同。但是,您应该能够在其输出中找到 IP 范围。
替代方法:
亚马逊有一个论坛帖子,列出了他们的 IP 范围并定期更新,因此您也可以使用它。
因为这些 IP 范围会随着时间的推移而改变,所以理想情况下,您需要一个脚本来为您探测它们并在发现新 IP 时发出通知。正如下面的评论中所指出的,您可能不希望在没有首先确认 IP 范围正确的情况下更新防火墙配置。