公司内网环境要用到网站 A ,之前已经打通了到网站 A 的网络,网站也能正常使用。 但是网站 A 最近改版,引用了很多外网的资源:js 库、图片等等。 需要在内网打通到这些网址的网络策略。否则网站 A 加载都异常。
不过网管那边打通网络策略需要的是目标的 IP 地址。 这些外网资源都是域名访问的。
我知道使用 ping 或者 nslookup 能获取到域名对应的 IP,但是考虑到对应的网站可能有负载均衡,这样是不是可能存在一个域名对应多个 IP 的情况,有什么办法能获取到所有 IP 吗?
 |
1
gaobh 2 天前  1
如果人家用的是 CDN 你怎么获取,CDN IP 又不是固定的,治标不治本
|
 |
2
LGA1150 2 天前
dnsmasq+ipset 方案了解一下
|
 |
3
ethanpeng 2 天前
拨测一下就知道了吧
 |
 |
4
H97794 2 天前
外网的资源有没有被墙,
你们在哪过墙, 每台 pc,还是在路由器 感觉你这有的乱, 正常过墙了,应该是都可以访问, 你这又只对 ip 放行? 纯 IP 放行,没墙的, 路由器做 dns + 自动获取 ip 到放行里 有墙的,在翻墙软件里放行域名就可以才是 |
 |
6
iorilu 1 天前
啥意思, iframe 嵌入别人网站冒充自己开发的?
|
|
7
H97794 1 天前
@piaochen0 只能说你们的墙,又菜又爱玩. 硬件 软件 管理员
#3 手动 #2 自动 说来说去 还是看 硬件 软件 和内外网络设置 实现域名放行! 嗯? 靠,是怕你们利用域名放行出去? 不是无法实现域名放行! 打脸了? |
 |
8
Loyle5 1 天前
OP 那边的网管用的是 ip 白名单,问的是如何获得 A 网站引用的所有资源的 ip ,用以添加到白名单中
|
 |
9
guyeu 1 天前
你们更新白名单的速度能追上人家更新网站的速度吗?先不说不同站共享 IP 的情况,一个站里的资源涉及到的 IP 那么多,都加白之后你们这个白名单防火墙还能有多大的意义?
|
 |
10
Leasing 1 天前
这种基本都是 CDN IPs
|
 |
11
gadfly3173 1 天前 via Android
如果对面是微信支付这样的大厂 api 服务,一般可以认为 ip 不会变。如果对面接的第三方 cdn 并且你没法联系对面给你提供特定 ip 的话,自己在公网找个服务器中转一下比较简单。
|
 |
12
sampeng 1 天前
http 是在 7 层。网管只懂 4 层以下的东西。所以呢。企业路由器不存在解了 ip 再放路由策略力。一般都是路由段。怎么解决呢?
很简单,推测出目标网站的 ip 段就好了。这都是公开的,不是什么秘密。像云厂商直接是有 api 获取 ip 段的。但坏处是,所有这样的都等于放开了。 所以,看你公司的安全策略了。如果只有单 ip ,那是简单网站。大一点的。有 cdn 的,目测你们公司是绕不过去的。 可能好一点的办法就是专门有一台机器可以上这个网站,要用的人远程做面上去。做好这台 pc 的审计和录屏就完事了。网管和你都没风险,工作量比 ip 小多了 |
 |
13
bfdh 1 天前
2 楼是靠谱方案。
不过这个方案存在一个问题,就是如果域名相当多的话,性能会显著降低。 |
 |
14
googlefans 14 小时 37 分钟前
@gaobh 可以绕过
|
Select Language