2011年からAWS EC2インスタンスでウェブサイトを運営しています。セキュリティグループを使用したシンプルな構成で、nginxを実行する1つのインスタンスを要塞サーバーとして扱い、どこからでもHTTPおよびHTTPSアクセスを許可し、静的コンテンツを直接提供し、パブリックアクセスのないApacheを実行する他のインスタンスにHTTP経由でPHPリクエストをプロキシします。これまで終わり何でもネットワーク ACL を使用しました。しかし、偶然、VPC のネットワーク ACL インバウンド ルールを見つけました。どの CIDR も私にとっては意味がありません。
100 All traffic All All 114.134.184.0/21 Deny
101 All traffic All All 1.68.0.0/14 Deny
102 All traffic All All 1.80.0.0/13 Deny
103 All traffic All All 1.92.0.0/14 Deny
104 All traffic All All 1.192.0.0/13 Deny
105 All traffic All All 1.202.0.0/15 Deny
106 All traffic All All 1.204.0.0/14 Deny
107 All traffic All All 14.144.0.0/12 Deny
108 All traffic All All 14.208.0.0/12 Deny
109 All traffic All All 23.80.54.0/24 Deny
110 All traffic All All 23.104.141.0/24 Deny
112 All traffic All All 23.226.208.0/24 Deny
113 All traffic All All 27.8.0.0/13 Deny
117 All traffic All All 27.50.128.0/17 Deny
118 All traffic All All 27.54.192.0/18 Deny
119 All traffic All All 27.106.128.0/18 Deny
120 All traffic All All 27.115.0.0/17 Deny
121 All traffic All All 27.148.0.0/14 Deny
32766 All traffic All All 0.0.0.0/0 Allow
* All traffic All All 0.0.0.0/0 Deny
10年前にアカウントとその単一のVPCが作成されたときに、これらがデフォルトで存在していた可能性はありますか?これらのCIDRは他の人にとって意味がありますか?私は新しい無料枠アカウントを作成したばかりで、そのVPCのネットワークACLには、0.0.0.0/32からすべてを許可し、その後に0.0.0.0/32をすべて拒否するという2つの合理的なルールしかありません。
答え1
APNIC WHOISによると、それらはすべて中国にあるさまざまなネットワークプレフィックスと完全に一致しているので、当時のセキュリティポリシーの一部だったのではないかと思います。同時に、とてもアマゾンがデフォルトで国全体をブロックする可能性は低い。