白名单与Azure网络安全组的特定IP地址
问题描述:
我试图限制对虚拟机上的端点的访问仅限于特定的外部IP地址。经过研究,我发现Azure上的网络安全组可能是合适的。我创建了一个网络安全组,并将其连接到我的虚拟网络的子网。白名单与Azure网络安全组的特定IP地址
我再创造,我认为应该只允许一个特定的IP地址访问这两个规则:
的规则如下:
- Source: IP Addresses
- Source IP address range: *
- Source port range: *
- Destination: *
- Destination port range: *
- Protocol: Any
- Action Deny
- Priority: 1000
- Name: Deny-All
- Source: IP Addresses
- Source IP Address Range: XX.XXX.XXX.XX
- Source Port Range: *
- Destination: Any
- Destination Port Range: *
- Protocol: Any
- Action: Allow
- Priority: 700
- Name: Allow-Specific
然而,当我尝试从指定的IP地址访问我似乎被阻止的端点。有谁知道我是否忘记了一步或做错了什么。 NSG阻止访问,但我似乎无法得到白名单工作。
我检查了NSG日志,但不幸的是我无法检查源IP地址是什么。也许可能源IP地址在流水线的某处发生了变化,并在达到NSG规则之前被更改。
答
它似乎是与这个问题在否认所有规则。我没有意识到,已经有一个否定所有规则建成NSG已经。出于某种原因,当我删除了自定义Deny-All规则但保留了Allow-Specific时,我能够访问白名单IP上的端点。
我不确定为什么会出现这种情况,如果有人有更多的反馈,我很乐意听到它。
+0
据我所知,这不是一个“拒绝所有规则”问题。因为该规则的优先级较低。它不会影响优先级为700的规则。当您测试它时,是否确保您的服务正在侦听?为了测试,您可以再次添加规则,我想您也可以从XX.XXX.XXX.XX访问您的服务。 –
好吧,您的允许有问题,流量与规则不匹配,并且被拒绝 – 4c74356b41
尝试在Azure门户中使用Network Watcher,这提供了多种诊断网络问题的方法。另外,你确定你没有在你试图访问的虚拟机上运行防火墙吗?您可以在添加规则之前到达VM吗? – P2l
Hi @ P2l,感谢您的评论。我相信它不是一个防火墙问题,因为当我将允许规则中的“源IP地址范围”更改为“任何”时,我可以访问我的端点。我还尝试检查NSG日志以检查这些请求上的源IP地址是什么,但不幸的是日志似乎没有包含此信息。 –