2021年10月

近期遇到个折腾需求,客户的安全管理制度严格,设备端出方向也需要经过加白才能访问。当我们使用了大量的CDN时,无法告知其准确的IP。
收到这个需求时我是崩溃的,都2021年了,客户防火墙还不能添加域名白名单。

  • 将我们产品本地化部署,我们不支持
  • 针对客户出口IP做智能解析,经验证后,其DNS不支持EDNS,出口IP中有ipv6地址,不支持
  • 我们部署nginx反向代理,针对单域名进行重定向,比如设备仅在访问a.baidu.com 被影响,其余 x.baidu.com正常解析。客户无法支持。

经过一段时间的折腾,发现dnsmasq支持单域名重定向,配置也相当简单。在dnsmasq的 /etc/hosts中添加即可。

192.168.1.10 a.baidu.com web01
192.168.1.20 b.baidu.com web02



忙起来了,沉迷在组织架构升级,对业务支撑。明年的部门规划、预算
早上和产品总监聊了支付业务,这位同学有着非常丰富的创业经历,中途遇到的问题也非常有共鸣,本来是就框架略微展开。最后提了嘴安全,聊到了他在支付行业创业中动了其他厂商的蛋糕,被ddos、CC,被用户要求赔款,在这块非常有感受。我也就以前遇到的相同经历,被刷短信接口、社工、甚至被拖库。安全不能仅靠运维,业务侧的审计日志、安全开发都要跟上,难得能和非技术人员聊到这儿,第一位!
非常欣慰!