Azure External Load Balaner - Quell-IP-Sicherheit

Question

Ich habe zwei VMs, die von einem Load Balancer mit externem Lastenausgleich belastet werden. Ich bin in der Lage, erfolgreich mit diesen VMs aus dem Internet durch diese LB-Regel zu verbinden.

Allerdings möchte ich den Zugriff auf die öffentliche IP-Adresse des Load-Balancers (oder genauer: auf die dahinter liegenden VMs) auf ein bestimmtes Quellnetzwerk beschränken. Damit das gesamte Internet nicht darauf zugreifen kann, können nur bestimmte öffentliche Subnetze es verwenden.

In TCP-Verbindungstabellen auf den VMs suchen - es sieht so aus, als ob die Azure LB die Quell-IP natting, die durch sie kommt. Meine NSGs auf den VM-Gästen können also nicht nach "SourceIP = Desired Source" filtern.

Gibt es eine Möglichkeit, dies in der Resource Manager-Version von Azure zu tun?

Answer 1

Der Quellport und der Adressbereich stammen vom Ursprungscomputer, nicht vom Load Balancer.

Von https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/#design-considerations (siehe unter "Load Balancer")

ähnlich öffentlich zugänglichen Loadbalancer, wenn Sie NSGs zu Filter Verkehr erzeugen, durch einen internen Lastenausgleich kommt (ILB), Sie muß verstehen, Der verwendete Quellport und Adressbereich sind diejenigen von dem Computer, der den Anruf initiiert hat, nicht die Last Balancer. Der Zielport und der Adressbereich beziehen sich auf den Computer, der den Datenverkehr empfängt, und nicht auf den Load Balancer.

Ich bin erraten ist es mit x-forwarded-for und dass NSGs verstehen. Verbindungstabellen nicht. Sie sind rohe Verbindungen und als solche zeigen die NAT.