Tengo un Cloudflare Tunnelcon dos subdominios. Necesito que uno de ellos sea público y el otro esté bloqueado si la fuente no es mi IP. Creé una política de red que dice si SNI Domain is admin.example.com(ese es el subdominio que necesito bloquear para otras IP) y Source IP is not <my ip>luego Block. Esto funciona por una Source IPparte, pero también bloquea mi otro subdominio desde cualquier otra IP, por lo que SNI Domain is admin.example.comno está haciendo lo que necesito. ¿Qué hay que cambiar para que esto funcione?
Respuesta1
Según la información proporcionada, parece que el problema está en la política de red que creó en Cloudflare Tunnel. La política que ha descrito bloquea el tráfico al subdominio admin.example.com si la IP de origen no es su IP, pero también bloquea el tráfico al otro subdominio si la IP de origen no es su IP. Es probable que esto se deba a que la política se aplica a todo el tráfico, independientemente del subdominio al que se dirija.
Para solucionar este problema, deberá actualizar su política de red para que solo se aplique al tráfico que se dirige al subdominio admin.example.com. Esto se puede hacer agregando una condición a la política que coincida con el subdominio del tráfico entrante. Por ejemplo, puede utilizar la condición de dominio SNI para hacer coincidir el tráfico que se dirige al subdominio admin.example.com.
A continuación se muestra un ejemplo de cómo podría verse la política de red actualizada:
if SNI Domain is admin.example.com and Source IP is not <my ip> then Block
Esta política actualizada solo se aplicará al tráfico que vaya al subdominio admin.example.com y bloqueará el tráfico de cualquier IP de origen que no sea su IP. Esto debería permitir el acceso al otro subdominio desde cualquier IP de origen, al mismo tiempo que bloquea el acceso al subdominio admin.example.com desde otras IP.
También vale la pena señalar que puede usar la condición de dominio SNI para hacer coincidir varios subdominios a la vez, si tiene más de un subdominio al que desea bloquear el acceso. Por ejemplo, podría utilizar una condición como esta para bloquear el acceso a los subdominios admin.example.com y Secure.example.com:
if SNI Domain is admin.example.com or SNI Domain is secure.example.com and Source IP is not <my ip> then Block
Esto bloqueará el acceso a ambos subdominios si la IP de origen no es su IP, al tiempo que permitirá el acceso a otros subdominios. Puede ajustar las condiciones en la política de red según sea necesario para que coincida con sus requisitos específicos.
Respuesta2
Resulta que estaba usando el área equivocada para las políticas. En lugar de Gateway -> Policies -> Network Policy, necesitaba crear una aplicación ( Access -> Applications -> Add an Application) para el subdominio de administrador. Entonces esa aplicación me permite limitar los rangos de IP.