我有一个ec2实例( proxy ),它被用作http代理服务器。 还有一些其他的主机( hostA , hostB , hostC ),我想代理服务器只会允许来自这些主机的连接。
为此,我更改了安全组,并将这些主机添加为源,将80为端口
Port | Source ---------+---------- 80(HTTP) | hostA/32 80(HTTP) | hostB/32 80(HTTP) | hostC/32
此时hostA , hostB和hostC之外的其他主机hostC不能访问Proxy 。
但是如果其他机器上的某个人用伪造的源地址创build了一个虚假的IP数据包呢? 请问接口( eth0 )能接受吗?
除安全组设置外,是否还有其他安全措施?
但是如果其他机器上的某个人用伪造的源地址创build了一个虚假的IP数据包呢? 请问接口(eth0)能接受吗?
是的,但由于他们不会得到回复数据包,他们将无法完成握手并build立TCP连接。 所以他们不应该能够发送任何实际的数据到代理。
即使他们正确地猜测了序列号,build立了一个TCP连接,并且得到了一些数据给代理,他们仍然会面临两个问题:
他们将永远不会收到任何数据,因为答复不会寄给他们。
他们的连接很快就会被实际使用该IP地址的机器closures,因为它使用RST响应“外来”数据包,假设它正在运行。