似乎api.mailgun.net定期解析为一组不同的IP。我试图找到知道的IP但找不到任何东西。
我不认为可以向防火墙添加规则,动态检查连接是否转到解析为此IP的域。
但是,正如您已经尝试过的那样,将他们拥有的每个IP添加到防火墙是一种解决方案。要获得所有可能的IP,我会做:
// Find the authoritative nameserver
// Your local nameserver potentially only returns the cached, first record
$ dig api.mailgun.net IN SOA
;; AUTHORITY SECTION:
mailgun.net. 899 IN SOA ns-1447.awsdns-52.org. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400
// Query that for all the records
$ dig +short api.mailgun.net IN A @ns-1447.awsdns-52.org.
34.200.7.26
52.200.96.214
52.73.0.101
52.21.40.223
52.86.239.198
34.232.33.59
或者,您只需添加一条规则,允许所有传入的TCP响应流量用于您所建立的连接。假设所有传出流量都是允许的。
为此,添加一个覆盖Ephemeral Port Range的传入ACCEPT规则: