本文介绍如何通过配置安全组规则实现向指定 IP 提供公网访问服务。

操作场景

用户在通过 DNAT 功能实现对外提供公网服务后,希望仅对指定的的某一个或多个 IP 或网段的 IP 提供公网访问,限制其它地址访问。此时,可通过配置安全组规则中的源 IP 实现。

trust ip access net

前提条件

  • 已通过 NAT 网关的 DNAT 功能,实现对外提供公网服务。

  • 本示例中,假设已完成如下配置:

    使用 DNAT 功能,将公网端口 2222 的请求,转发到内网云服务器 192.168.0.222 端口,并已在安全组添加 2222 端口的下行规则,实现了通过 2222 端口访问内网云服务器 22 端口。

操作步骤

指定某一个或某一网段的 IP 可访问

例如:仅希望 58.19.101.0/24 网段的 IP 可访问。操作步骤如下。

  1. 找到 NAT 网关绑定的安全组,点击安全组 ID,进入安全组规则详情页。

  2. 勾选 2222 端口下行规则,点击修改,修改安全组规则。

  3. 配置源 IP 为允许访问的 IP,如下图所示。源 IP 可以是某一个 IP 或某个网段。

    bp sg trust source ip

  4. 点击提交,然后点击应用修改

指定多个或多网段的 IP 可访问

例如:仅希望 45.21.23.22259.212.11.22 这两个 IP 可访问。操作步骤如下。

  1. 创建一个 IP 集合,配置 IP 地址 为允许访问的 IP。详情可参考创建 IP/端口集合

  2. 修改 NAT 网关绑定的安全组规则,详情可参考修改安全组规则

    修改 2222 端口的下行规则,配置源 IP 为刚创建的 IP 集合。