Разрешить Amazon ELB в IIS

Question

Есть ли опция Разрешить или запретить доступ к балансировке балансировки нагрузки Amazon в разделе «Ограничения IP-адреса и домена» в IIS? - Я хочу, чтобы мой сайт был доступен только для меня (мой IP-адрес). Однако, если я запретил все и разрешил только мой IP-адрес, Amazon ELB не может получить доступ к экземпляру EC2. Я знаю, что я не могу разрешить ELB по IP, потому что он все время меняется, есть ли еще одна опция, позволяющая ELB в «Ограничениях IP-адресов и доменов»?

Использование Windows 2012 IIS8. Благодарю.

Answer 1

Проблема в том, что если вы разрешаете доступ к ELB, любой, кто использует IP-адрес, выходящий наружу, может получить доступ к вашему сайту. У вас нет способа настроить IIS для запрета трафика на основе перенаправленного IP-адреса.

Вы можете создать частное ELB, если вы находитесь в Virtual Private Cloud (VPC)

При использовании в Virtual Private Cloud (VPC), вы можете создавать и управлять группы безопасности, связанные с упругой нагрузкой Балансировка для обеспечения дополнительных возможностей сети и безопасности.

http://aws.amazon.com/elasticloadbalancing/

Таким образом, сам ELB будет доступен только для вас (или других вы предоставите в VPC).

Если вы хотите, чтобы ваш ELB был общедоступным, заголовок HTTP X-Forwarded-For предоставит исходный IP-адрес (например, ваш IP-адрес). Вы можете написать модуль IIS, который проверяет разрешенные пересылаемые IP-адреса и отклоняет те, которые не указаны в списке Разрешить. Там в модуль написан кем-то на F5, что обеспечит хороший старт:

https://devcentral.f5.com/blogs/us/x-forwarded-for-http-module-for-iis7-source-included