严格允许来自ec2实例上特定主机的HTTP数据包

Question

我有一个ec2实例(proxy)，它被用作http代理服务器。还有其他一些主机(hostA、hostB、hostC)，我希望代理服务器只允许来自这些主机的连接。

为此，我更改了安全组，并将这些主机添加为源，将80添加为端口。

Port     |  Source
---------+----------
80(HTTP) |  hostA/32
80(HTTP) |  hostB/32
80(HTTP) |  hostC/32

此时，除了hostA、hostB和hostC之外，没有其他主机可以访问Proxy。

但是，如果来自其他aws机器的人用假源地址创建假IP数据包，该怎么办？接口(eth0)会接受它吗？

除了安全组设置之外，还有其他安全措施吗？

Answer 1

但是，如果来自其他aws机器的人用假源地址创建假IP数据包，该怎么办？接口(eth0)会接受它吗？

是的，但是由于他们得不到回复包，所以他们无法完成握手并建立TCP连接。因此，他们不应该能够向代理发送任何实际数据。

即使他们能够正确猜测序列号，建立TCP连接，并向代理获取一些数据，他们仍将面临两个问题：

1. 他们永远不会收到任何数据，因为答复不会发给他们。
2. 他们的连接很快就会被实际使用IP地址的机器关闭，因为它使用RST来响应“外星”数据包，假设它是可操作的。