Ich habe eine Cloudflare Tunnelmit zwei Subdomains. Eine davon muss öffentlich sein und die andere muss blockiert werden, wenn die Quelle nicht meine IP ist. Ich habe eine Netzwerkrichtlinie erstellt, die besagt, wenn SNI Domain is admin.example.com(das ist die Subdomain, die für andere IPs blockiert werden muss) und Source IP is not <my ip>dann Block. Das funktioniert für den Source IPTeil, blockiert aber auch meine andere Subdomain für jede andere IP, also SNI Domain is admin.example.comtut das nicht, was ich brauche. Was muss geändert werden, damit das funktioniert?
Antwort1
Basierend auf den bereitgestellten Informationen scheint das Problem an der Netzwerkrichtlinie zu liegen, die Sie in Cloudflare Tunnel erstellt haben. Die von Ihnen beschriebene Richtlinie blockiert den Datenverkehr zur Subdomäne admin.example.com, wenn die Quell-IP nicht Ihre IP ist, aber sie blockiert auch den Datenverkehr zur anderen Subdomäne, wenn die Quell-IP nicht Ihre IP ist. Dies liegt wahrscheinlich daran, dass die Richtlinie für den gesamten Datenverkehr gilt, unabhängig davon, an welche Subdomäne er geht.
Um dieses Problem zu beheben, müssen Sie Ihre Netzwerkrichtlinie so aktualisieren, dass sie nur für Datenverkehr gilt, der zur Subdomäne admin.example.com geht. Dies können Sie tun, indem Sie der Richtlinie eine Bedingung hinzufügen, die der Subdomäne des eingehenden Datenverkehrs entspricht. Sie können beispielsweise die Bedingung „SNI-Domäne“ verwenden, um Datenverkehr abzugleichen, der zur Subdomäne admin.example.com geht.
Hier ist ein Beispiel, wie die aktualisierte Netzwerkrichtlinie aussehen könnte:
if SNI Domain is admin.example.com and Source IP is not <my ip> then Block
Diese aktualisierte Richtlinie gilt nur für Datenverkehr zur Subdomäne admin.example.com und blockiert Datenverkehr von jeder Quell-IP, die nicht Ihre IP ist. Dadurch sollte der Zugriff auf die andere Subdomäne von jeder Quell-IP möglich sein, während der Zugriff auf die Subdomäne admin.example.com von anderen IPs aus weiterhin blockiert wird.
Beachten Sie auch, dass Sie die SNI-Domänenbedingung verwenden können, um mehrere Subdomänen gleichzeitig abzugleichen, wenn Sie den Zugriff auf mehr als eine Subdomäne blockieren möchten. Sie können beispielsweise eine Bedingung wie diese verwenden, um den Zugriff auf die Subdomänen admin.example.com und secure.example.com zu blockieren:
if SNI Domain is admin.example.com or SNI Domain is secure.example.com and Source IP is not <my ip> then Block
Dadurch wird der Zugriff auf beide Subdomains blockiert, wenn die Quell-IP nicht Ihre IP ist, während der Zugriff auf andere Subdomains zugelassen wird. Sie können die Bedingungen in der Netzwerkrichtlinie nach Bedarf an Ihre spezifischen Anforderungen anpassen.
Antwort2
Es stellte sich heraus, dass ich den falschen Bereich für Richtlinien verwendet hatte. Statt Gateway -> Policies -> Network Policymusste ich eine Anwendung ( Access -> Applications -> Add an Application) für die Admin-Subdomäne erstellen. Mit dieser Anwendung kann ich dann die IP-Bereiche einschränken.