Cloudfreigaben optimieren

[Fidibus]

Moin,
ich habe folgendes Problem:
Ich nutze einige Dinge, die eine Verbindung zu sehr dynamischen Cloudadressen aufbauen.
Ich habe mühsam alle bisher genutzten IP-Adressen zusammengetragen und in einem Alias gebündelt.
Seitdem keine blocks mehr im Log.
Heute kompletter Neustart des Netzwerkes, ich möchte aktuell den Leistungsbedarf ermitteln, um eine USV zu platzieren.
Anschließend kommen einige Applikationen nicht zum Fliegen, da neue Cloud-IP's angesprochen wurden.
Gibt es eine Möglichkeit, Freigaben auf z.B. (ec2-35-156-72-91).eu-central-1.compute.amazonaws.com einzutragen?
Der String in den Klammern ist variabel. *.eu-central-1.compute.amazonaws.com wird unter URL nicht gefressen.

 

[blurrrr]

Hi,

Gibt es eine Möglichkeit, Freigaben auf z.B. (ec2-35-156-72-91).eu-central-1.compute.amazonaws.com einzutragen?

ist mir so nicht bekannt, allerdings wäre "eu-central-1.compute.amazonaws.com" auch "etwas" sehr viel. Aber davon ab:

Ich nutze einige Dinge, die eine Verbindung zu sehr dynamischen Cloudadressen aufbauen.

Limitierst Du Deinen ausgehenden Traffic derart? Mit initial eingehenden Verbindungen hat das ja erstmal soweit nichts zu tun, wenn Du von intern auf externe Quellen zugreifst.

 

[the other]

Moinsen,
Hast du vor, den ausgehenden Verkehr so fein zu regulieren?
Ich würde einen anderen Weg vorschlagen, um einerseits nicht ständig sich ändernden IPs hinterherzujagen. Und um andererseits trotzdem nicht gleich ALLES nach aussen zu erlauben:
Erlaub nicht bestimmte IPs, sondern schau, welcher Port erlaubt werden soll. Das wäre IMHO ein sinniger Kompromiss.
EDIT: Ich habe zb im Gastnetz nur die typischen ports für Internet surfen, email, android update und hm, ein, zwei andere Dinge erlaubt. DNS als redirect auf meinen Resolver gefiltert von pfblocker, ausgehend Blocklisten zu den üblichen bekannten bösen Seiten.

 

[Fidibus]

Danke euch, ich werde es so machen, Port -> any ;-)

 

[the other]

Moinsen,
WENN du schon so fein filtern willst, dann eher destination Any und Port mit nem Alias als Allowed, das alias dann füllen mit den Ports, die die doofen cloud Dinger erreichen wollen bzw sollen.
Ich regulieren das aber nur im gastnetz und IoT Netz so stark, in letzterem hat nur home assistant Internetzugriff, die doofen Schalter und Leuchtmittel update ich ab und zu direkt über die app und Bluetooth, ins Netz kommt da sonst nix. Der TV und avr nur sehr begrenzt. Alles andere hat any any bzgl Internetzugriff. Ist mir too much sonst.

 

[Fidibus]

destination Any und Port mit nem Alias als Allowed

Moin,
ich habe mich falsch ausgedrückt - genau so meine ich das.

 

[Confluencer]

Schon mal überlegt einen NLB vor die EC2 Nodes zu packen?
NLB's bekommen je AZ eine statische IP-Adresse.

Ansonsten vielleicht mittels Elastic-IP, das hat dann auch statische IP und kann einem EC2-Node zugewiesen werden, und sogar an eine andere umgehangen werden. Man muss nur aufpassen, dass die Elastic-IPs auch tatsächlich genutzt werden, da man für bestellt, aber nicht genutzte eine Nicht-Nutzungsgebühr zahlt. Quasi eine Idiotensteuer

 

[Fidibus]

Danke @Confluencer für deine Hinweise.
Die muss ich mir jetzt erst einmal übersetzen, um sie zu verstehen

 

[Confluencer]

Mein Vorschlag ist das Problem bei der Ursache zu bekämpfen

Sprich im AWS-Account wo die Compute Nodes laufen, und wie sie aus dem Internet erreichbar sind. Das kann natürlich nur klappen, wenn Du Einfluss auf den AWS-Account hast, wo die Sachen laufen und die evtl. anfallenden Mehrkosten (NLBs kosten, Elastic-IPs nur bei nicht Nutzung) tragen kannst/willst.

 

[Fidibus]

wenn Du Einfluss auf den AWS-Account hast, wo die Sachen laufen

Ich glaube, da bin ich ehr begrenzt.

 

[Confluencer]

Ah, okay. Dann bringt dir das alles, was ich geschrieben habe natürlich nichts. Außer du kannst es beim Betreiber der Nodes platzieren und er setzt es um.