У меня есть Cloudflare Tunnelс двумя поддоменами. Мне нужно, чтобы один из них был публичным, а другой блокировался, если источник не мой IP. Я создал сетевую политику, которая гласит, если SNI Domain is admin.example.com(это поддомен, который мне нужно заблокировать для других IP-адресов), а Source IP is not <my ip>затем Block. Это работает для Source IPчасти, но также блокирует мой другой поддомен с любого другого IP-адреса, поэтому SNI Domain is admin.example.comне делает то, что мне нужно. Что нужно изменить, чтобы это работало?
решение1
На основании предоставленной информации, похоже, проблема связана с сетевой политикой, которую вы создали в Cloudflare Tunnel. Описанная вами политика блокирует трафик на поддомен admin.example.com, если исходный IP-адрес не является вашим IP-адресом, но она также блокирует трафик на другой поддомен, если исходный IP-адрес не является вашим IP-адресом. Вероятно, это связано с тем, что политика применяется ко всему трафику, независимо от того, на какой поддомен он направляется.
Чтобы исправить эту проблему, вам нужно будет обновить политику сети, чтобы она применялась только к трафику, идущему в поддомен admin.example.com. Это можно сделать, добавив в политику условие, которое соответствует поддомену входящего трафика. Например, вы можете использовать условие SNI Domain для сопоставления трафика, идущего в поддомен admin.example.com.
Вот пример того, как может выглядеть обновленная сетевая политика:
if SNI Domain is admin.example.com and Source IP is not <my ip> then Block
Эта обновленная политика будет применяться только к трафику, идущему на поддомен admin.example.com, и будет блокировать трафик с любого исходного IP, который не является вашим IP. Это должно позволить получить доступ к другому поддомену с любого исходного IP, при этом по-прежнему блокируя доступ к поддомену admin.example.com с других IP.
Также стоит отметить, что вы можете использовать условие SNI Domain для сопоставления нескольких поддоменов одновременно, если у вас есть более одного поддомена, к которому вы хотите заблокировать доступ. Например, вы можете использовать такое условие, чтобы заблокировать доступ к поддоменам admin.example.com и secure.example.com:
if SNI Domain is admin.example.com or SNI Domain is secure.example.com and Source IP is not <my ip> then Block
Это заблокирует доступ к обоим поддоменам, если исходный IP-адрес не ваш IP, при этом разрешит доступ к другим поддоменам. Вы можете настроить условия в сетевой политике по мере необходимости, чтобы они соответствовали вашим конкретным требованиям.
решение2
Оказывается, я использовал не ту область для политик. Вместо Gateway -> Policies -> Network Policyмне нужно было создать приложение ( Access -> Applications -> Add an Application) для поддомена администратора. Тогда это приложение позволяет мне ограничивать диапазоны IP-адресов.