问题标签 [ip-restrictions]

起初，我使用具有执行 Apps Script API 的委托凭据的服务帐户，通过 Google 的 Python 客户端库从 Python 脚本运行 Google Apps Script 上的函数，它运行良好。

我想为其添加一些IP限制，以确保它只能由特定IP执行。

我尝试在 VPC 中添加防火墙规则，该规则拒绝来自 0.0.0.0/0 的所有入口并将目标设置为服务帐户。但是，在设置 vpc 规则之后运行脚本与之前没有什么不同。
防火墙规则似乎只针对服务帐户使用的 VM 实例。

有没有更好的方法来为服务帐户设置 IP 限制？

在网络服务器日志（使用 az cli）中，我可以看到使用用户代理 AlwaysOn 和 IP 地址 10.0.128.25 获取请求

此 IP 地址能否可靠地用于设置允许 IP 限制？

此 IP 地址未记录在https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-addresses中，这似乎涵盖了发现公共 IP 地址，所以我对使用保持警惕它？

在日志中我还看到 IPv6 ::1 表示本地主机，所以我猜 10.0.128.25 也是本地主机？

我尝试使用应用服务控制台和 Kudu powershell 控制台来查看它是否是实例的 IP 地址，但我无法发现更多，因为 ipconfig 和 Get-NetIPAddress 似乎在沙箱中工作。

我猜 127.0.0.1 不会工作，即使它是同一台机器，因为 IIS 将它解释为另一个 IP？

到目前为止，在我尝试过的两个应用服务计划中，它是相同的 IP。

对 Geocode API 使用 IP 限制时，我应该在那里放置什么 IP 地址？Google 搜索“我的 IP 是什么”返回的 IP 地址？或者托管应用程序/网站文件的服务器的 IP 地址？

我在 inMotion Hosting 下有一个网站，我试图将他们的 ip 放在限制中，但这似乎不起作用。

我认为我不必输入访问我网站的每个人的互联网 IP 地址，因为我不知道谁会访问以及在哪里访问。

请告诉我，我很困惑

我正在尝试在我的 Azure App Service App 中设置 IP 限制块

执行 Terraform 计划或应用时，我收到以下错误： 错误：azurerm_app_service.app-service-1: : invalid or unknown key: ip_restriction

我使用ip_restriction per Terraform Documentation for App Service (Web Apps) Resources

这是我正在使用的 AppService 部署代码：

谢谢

亲爱的，

任何人都可以帮助通过 IP 地址限制对 Web 应用程序上特定路径的访问吗？

目前我已经应用了 RemoteAddrValve，它完美地适用于所有 Web 应用程序目录。实际上我只需要在特定路径上应用它。

如果有人可以提供帮助，我们将不胜感激。

我想使用 PowerShell 为我网站上的 /admin 文件夹设置 ip 限制。

我明白，因为这部分是锁定的，所以我必须去 applicationHost.config，除非我解锁，否则我不能在那个特定的文件夹中使用本地 web.config。我还想出了如何使用 appcmd.exe 添加 IP 限制规则。

因为allowUnlisted默认为true（允许），所以我也必须将它设置为false，这是我无法完成的，因为当我使用以下命令时出现错误：

错误（消息：无法将属性“allowUnlisted”设置为值“false”。原因：此配置部分不能在此路径中使用。当该部分在父级别锁定时会发生这种情况。

我还发现有 appcmd 锁定/解锁功能，但这些命令不允许特定位置。我不想改变任何期望我的 $locations 行为，并在 applicationHost.config 中执行此操作。

使用GUI完全有可能，在 IIS 管理器中使用编辑功能中我的特定管理文件夹上的 IP 限制我可以将其设置为拒绝，并在 applicationHost.config 的末尾添加以下行（没有其他更改）：

问题

如何使用 CLI 方式在 applicationHost.config 中进行此更改？

我想知道 Azure App 服务中的 IP 限制是如何工作的。该文档指出：

https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions

“IP 限制功能在应用服务前端角色中实现，这些角色位于运行代码的工作主机的上游。因此，IP 限制实际上是网络 ACL。”

但它们不是网络 ACL，而是另一台机器上的防火墙规则 - 这是一个有效的声明吗？

如果不是这种情况，有没有办法配置扩展 ACL（使用基于端口的规则）？

我在 Azure 中创建了一个 Web 应用程序（例如 abc.azurewebsites.net），并向其中添加了一个从 Cloudflare (abc.contoso.com) 获取的自定义域（通过将 CNAME 点添加到 Azurewebsites.net）。

现在我的要求是，每当客户通过 abc.contoso.com 访问 webapp 时，它都应该通过 Cloudflare 并点击 azurewebapp。

然后我在 Azure webapp 中配置了 IP 限制，这样我就可以只允许来自 Cloudflare 的流量。

我添加了 ips 以允许我从文档中获得的模式并拒绝保留所有模式，但它不起作用。

我已经使用 web.config 上的代码来强制执行动态 IP 限制，以在 10 秒内拒绝 10 个并发请求，同时拒绝 5 个请求等并发请求。

该应用程序是 .net 4.7 框架，它是一个 MVC 应用程序。当我在 Azure Web App 上发布相同内容时，它不起作用。

当我尝试在 Fiddler 上使用相同的 Azure URL 发送类似 35 的请求时，所有请求都以 200 OK 状态响应。

我已经尝试了 web.config 代码

问题陈述：

我有一个通过 APIM 公开的逻辑应用程序[我想要这种方式，因为这是我的设计方法]，我只想允许特定的入站 IP 地址（在我的情况下为 APIM IP）访问我的逻辑应用程序。

我已将 apim 中的 IP 限制如下，并且按预期工作。

现在，我已经在我的逻辑应用程序中允许了特定的 ip(apim ip) 并从我的本地机器上发出了请求，逻辑应用程序提示我一个错误。

当我在逻辑应用程序中添加本地机器的 IP 时，它会按预期工作。

所以，我认为限制 APIM 中的 ips 有什么意义，因为我还需要允许逻辑应用程序中的所有 IPs？

谁能帮助/详细说明我做错了什么。