David Schwartz's questions

Amazon 的Elastic Load Balancer 支持 PROXY 协议版本 1。这允许负载均衡器后面的服务器确定客户端连接的原始源 IP 地址。

但是，协议规范在第 2 节和第 5 节中明确指出，您必须以某种方式确保只有授权端点才能连接到支持该协议的端口。否则，恶意用户可以直接连接到服务器，绕过代理，并发送一个 PROXY 标头声明他们希望的任何源 IP 地址。

我的问题是，你如何用 ELB 做到这一点？据我所知，没有可以连接到您的服务器的源 IP 地址的固定列表。没有办法限制端口，以便只有您的 ELB 可以连接到它。似乎任何人都可以创建一个 EC2 实例并在 ELB 代理的同一端口上直接连接到您的服务器，模拟负载均衡器，并声称从他们喜欢的任何 IP 地址进行连接。

这不可能。我错过了什么？

我们在 Linux 机器上运行面向公众的递归 DNS 服务器。我们已被用于 DNS 放大攻击。是否有任何iptables有助于减轻这些攻击的推荐规则？

显而易见的解决方案就是将出站 DNS 数据包限制在特定的流量级别。但我希望找到更聪明的东西，这样攻击就可以阻止到受害者 IP 地址的流量。

我已经搜索过意见和建议，但它们似乎都是“不要运行面向公众的递归名称服务器”。不幸的是，我们陷入了这样一种情况，即如果我们不这样做，不容易改变的事情就会崩溃，这是由于十多年前在这些攻击成为问题之前做出的决定。