本文介绍如何通过配置安全组规则实现向指定 IP 提供公网访问服务。

操作场景

用户在通过 DNAT 功能实现对外提供公网服务后,希望仅对指定的的某一(多)个或某一(多)个网段的 IP 提供公网访问,限制其他地址访问。此时,可通过配置安全组规则中的源 IP 实现。

trust ip access net

前提条件

已通过 NAT 网关的 DNAT 功能,实现对外提供公网服务。具体操作,请参见通过 DNAT 功能实现对外提供公网服务

本示例中,假设已完成如下配置:

使用 DNAT 功能,将公网端口 2222 的请求,转发到内网云服务器(内网 IP:192.168.0.2)的 22 端口,并已在安全组添加 2222 端口的下行规则,实现了通过 2222 端口访问内网云服务器 22 端口。

操作步骤

指定某一个或某一网段的 IP 可访问

例如:仅希望 58.19.101.0/24 网段的 IP 可访问。

  1. 找到 NAT 网关绑定的安全组,点击安全组 ID,进入安全组规则详情页。

  2. 勾选 2222 端口下行规则,点击修改,修改安全组规则。

  3. 配置源 IP 为允许访问的 IP,如下图所示。 源 IP 可以是某一个 IP 或某个网段。

    bp sg trust source ip

  4. 点击提交,然后点击应用修改

指定多个或多网段的 IP 可访问

例如:仅希望 45.21.23.22259.212.11.22 这两个 IP 可访问。

  1. 安全 > 安全组页面,点击 IP/端口集合标签页。

  2. 点击创建,创建一个 IP 集合。

  3. 配置IP 地址为允许访问的 IP,如下图所示。

    bp sg trust ip group

  4. 点击提交

  5. 点击安全组标签页,找到 NAT 网关绑定的安全组,点击安全组 ID,进入安全组规则详情页。

  6. 勾选 2222 端口下行规则,点击修改,修改安全组规则。

  7. 配置源 IP 为刚刚创建的 IP 集合,如下图所示。

    bp sg trust ip group 1

  8. 点击提交,然后点击应用修改