使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

AWS防火墙Suricata规则配置无效

0

【以下的问题经过翻译处理】 我正在尝试了解AWS的Suricata规则是如何工作的。使用下面这两个规则,所有网站都可以正常工作,但我只希望谷歌网站可以访问。我有什么遗漏吗?我理解顺序是通过,然后是阻止。我添加了drop tcp with flow规则,以便可以评估tls.sni,从而使通过规则生效。它似乎有效,但我期望所有其他不匹配的站点也不能访问(我尝试了DOMAIN LIST规则,但那也不起作用)

注意-使用默认顺序,没有无状态规则,转发frag和非frag数据包已配置,INT网络转发到FW子网,然后转发到NAT子网,然后转发到IGW。 HOME_NET是VPC CIDR,EXTERNAL_NET是0.0.0.0/0

规则1: pass tls $HOME_NET any -> $EXTERNAL_NET any(tls.sni; content:“ .google.com”; nocase; endswith; msg:“pp-允许访问HTTPS”; sid:1000001; rev:1;)

规则2: drop tcp $HOME_NET any -> $EXTERNAL_NET any(flow: established,to_server; msg:“pp-拒绝所有其他TCP流量”; sid:1000003; rev:1;

profile picture
专家
已提问 1 年前85 查看次数
1 回答
0

【以下的回答经过翻译处理】 FYI,这个问题已经解决了。

如果有人感兴趣的话 - 这实际上是一个路由问题。NAT网关子网路由表必须通过防火墙(网关负载均衡器vpce-xxxx)条目显式的包含返回路径。。我找到了一份文档,但它提示这不是必需的,因为NAT网关通常从接收到的相同源返回流量/这是不正确的。

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则