Eu tenho um Cloudflare Tunnelcom dois subdomínios. Preciso que um deles seja público e o outro bloqueado se a fonte não for meu IP. Criei uma política de rede que diz if SNI Domain is admin.example.com(esse é o subdomínio que preciso bloquear para outros IPs) e Source IP is not <my ip>depois Block. Isso funciona por Source IPparte, mas também está bloqueando meu outro subdomínio de qualquer outro IP, portanto, SNI Domain is admin.example.comnão está fazendo o que preciso. O que precisa ser mudado para que isso funcione?
Responder1
Com base nas informações fornecidas, parece que o problema está na política de rede que você criou no Cloudflare Tunnel. A política que você descreveu bloqueia o tráfego para o subdomínio admin.example.com se o IP de origem não for o seu IP, mas também bloqueia o tráfego para o outro subdomínio se o IP de origem não for o seu IP. Provavelmente, isso ocorre porque a política se aplica a todo o tráfego, independentemente do subdomínio para o qual vai.
Para corrigir esse problema, você precisará atualizar sua política de rede para aplicar apenas ao tráfego que vai para o subdomínio admin.example.com. Isto pode ser feito adicionando uma condição à política que corresponda ao subdomínio do tráfego de entrada. Por exemplo, você pode usar a condição Domínio SNI para corresponder ao tráfego que vai para o subdomínio admin.example.com.
Aqui está um exemplo de como a política de rede atualizada pode parecer:
if SNI Domain is admin.example.com and Source IP is not <my ip> then Block
Esta política atualizada se aplicará apenas ao tráfego que vai para o subdomínio admin.example.com e bloqueará o tráfego de qualquer IP de origem que não seja o seu IP. Isso deve permitir que o outro subdomínio seja acessado de qualquer IP de origem, enquanto ainda bloqueia o acesso ao subdomínio admin.example.com de outros IPs.
Também é importante notar que você pode usar a condição Domínio SNI para combinar vários subdomínios de uma vez, se tiver mais de um subdomínio ao qual deseja bloquear o acesso. Por exemplo, você poderia usar uma condição como esta para bloquear o acesso aos subdomínios admin.example.com e secure.example.com:
if SNI Domain is admin.example.com or SNI Domain is secure.example.com and Source IP is not <my ip> then Block
Isso bloqueará o acesso a ambos os subdomínios se o IP de origem não for o seu IP, ao mesmo tempo que permitirá o acesso a outros subdomínios. Você pode ajustar as condições na política de rede conforme necessário para atender aos seus requisitos específicos.
Responder2
Acontece que eu estava usando a área errada para políticas. Em vez de Gateway -> Policies -> Network Policy, precisei criar um aplicativo ( Access -> Applications -> Add an Application) para o subdomínio admin. Então esse aplicativo me permite limitar os intervalos de IP.