두 개의 하위 도메인이 있습니다 Cloudflare Tunnel. 그 중 하나는 공개로 설정하고 다른 하나는 소스가 내 IP가 아닌 경우 차단해야 합니다. 나는 SNI Domain is admin.example.com(다른 IP에 대해 차단해야 하는 하위 도메인) Source IP is not <my ip>다음 과 같은 네트워크 정책을 만들었습니다 Block. 이는 부분적으로는 작동 Source IP하지만 다른 IP의 다른 하위 도메인도 차단하므로 SNI Domain is admin.example.com필요한 작업을 수행하지 않습니다. 이것이 작동하려면 무엇을 변경해야 합니까?
답변1
제공된 정보에 따르면 Cloudflare Tunnel에서 생성한 네트워크 정책에 문제가 있는 것 같습니다. 설명하신 정책은 소스 IP가 귀하의 IP가 아닌 경우 admin.example.com 하위 도메인으로의 트래픽을 차단하고, 소스 IP가 귀하의 IP가 아닌 경우 다른 하위 도메인으로의 트래픽도 차단합니다. 이는 정책이 하위 도메인에 관계없이 모든 트래픽에 적용되기 때문일 수 있습니다.
이 문제를 해결하려면 admin.example.com 하위 도메인으로 이동하는 트래픽에만 적용되도록 네트워크 정책을 업데이트해야 합니다. 이는 수신 트래픽의 하위 도메인과 일치하는 정책에 조건을 추가하여 수행할 수 있습니다. 예를 들어 SNI 도메인 조건을 사용하여 admin.example.com 하위 도메인으로 이동하는 트래픽을 일치시킬 수 있습니다.
업데이트된 네트워크 정책의 예는 다음과 같습니다.
if SNI Domain is admin.example.com and Source IP is not <my ip> then Block
이 업데이트된 정책은 admin.example.com 하위 도메인으로 이동하는 트래픽에만 적용되며 귀하의 IP가 아닌 모든 소스 IP의 트래픽을 차단합니다. 이렇게 하면 모든 소스 IP에서 다른 하위 도메인에 액세스할 수 있지만 다른 IP에서 admin.example.com 하위 도메인에 대한 액세스는 계속 차단됩니다.
액세스를 차단하려는 하위 도메인이 두 개 이상인 경우 SNI 도메인 조건을 사용하여 한 번에 여러 하위 도메인을 일치시킬 수 있다는 점도 주목할 가치가 있습니다. 예를 들어 다음과 같은 조건을 사용하여 admin.example.com 및 secure.example.com 하위 도메인에 대한 액세스를 모두 차단할 수 있습니다.
if SNI Domain is admin.example.com or SNI Domain is secure.example.com and Source IP is not <my ip> then Block
이렇게 하면 소스 IP가 귀하의 IP가 아닌 경우 두 하위 도메인에 대한 액세스가 차단되고 다른 하위 도메인에 대한 액세스는 허용됩니다. 특정 요구 사항에 맞게 필요에 따라 네트워크 정책의 조건을 조정할 수 있습니다.
답변2
제가 정책에 잘못된 영역을 사용하고 있었던 것으로 나타났습니다. 대신 관리 하위 도메인에 대한 Gateway -> Policies -> Network Policy애플리케이션( )을 생성해야 했습니다 . Access -> Applications -> Add an Application그런 다음 해당 애플리케이션을 사용하면 IP 범위를 제한할 수 있습니다.