Como máximo, una ACL de red VPC puede tener 40 reglas aplicadas.
Tengo una lista de más de 50 direcciones IP a las que necesito bloquear explícitamente el acceso en nuestros sistemas, a través de cualquier puerto y cualquier protocolo. Este es un propósito ideal para una ACL, pero el límite me impide completar esta tarea.
Por supuesto, puedo hacer esto en IPTables en cada host, pero quiero bloquear todo el tráfico a todos los componentes de la VPC (a los ELB, por ejemplo). Además, es mucho más ideal administrar estas reglas en un solo lugar que en cada host.
Espero que haya alguna forma en que no entiendo hacer esto a nivel de sistema / plataforma. Los grupos de seguridad tienen permiso explícito, sin acción de denegación, por lo que no harán el truco.
Respuestas:
Aquí hay una idea de campo izquierdo ... podría "anular la ruta" de las 50 IP bloqueadas, agregando una ruta "rota" a la tabla de rutas VPC para cada IP.
Esto no evitaría que el tráfico de las direcciones IP golpee su infraestructura (solo las NACL y las SG lo evitarán), pero evitará que el tráfico de retorno lo haga "volver a casa".
fuente
No hay forma de aumentar el límite de NACL, y una gran cantidad de reglas NACL impacta el rendimiento de la red.
Es posible que tenga un problema arquitectónico sobre todo.
Si está alcanzando el límite de la regla NACL, lo más probable es que no esté adoptando el enfoque recomendado por AWS para la arquitectura VPC y el uso de servicios como WAF (y Shield for DDoS) para bloquear el tráfico no deseado y los ataques abiertos.
Si le preocupan los ataques DDoS: Cómo ayudar a proteger las aplicaciones web dinámicas contra los ataques DDoS mediante Amazon CloudFront y Amazon Route 53
fuente
Esto no es exactamente lo que pidió, pero puede hacer el trabajo lo suficientemente bien.
Configure CloudFront frente a su infraestructura. Use las condiciones de coincidencia de IP para bloquear efectivamente el tráfico. CloudFront funciona con contenido estático y dinámico, y puede acelerar el contenido dinámico ya que utiliza la red troncal de AWS en lugar de Internet público. Esto es lo que dicen los documentos
Cuando use CloudFront, debe bloquear el acceso directo a cualquier recurso público que use grupos de seguridad. La actualización lambda de AWS Update Security Groups mantendrá sus grupos de seguridad actualizados para permitir el tráfico de CloudFront pero rechazar otro tráfico. Si redirige http a https usando CloudFront, puede modificar un poco las secuencias de comandos para evitar que http afecte a su infraestructura. También puede incluir en la lista blanca cualquier IP que necesite acceso directo de administrador.
Alternativamente, puede usar un CDN de terceros como CloudFlare. CloudFlare tiene un firewall efectivo, pero por la cantidad de reglas que desea es de $ 200 por mes. Eso puede ser más barato que CloudFront, el ancho de banda de AWS es bastante costoso. El plan gratuito solo te da 5 reglas de firewall.
fuente