EC2 автоматически добавляет правило DENY All Traffic в ACL сети (невозможно изменить правило)

Question

EC2 автоматически добавляет правило DENY All Traffic в ACL сети (невозможно изменить правило)

На моем веб-сайте (korrade.com) всегда отображается сообщение об ошибке "Тайм-аут подключения", хотя в моей группе безопасности "Порт 80" отображается открытым, а SSH работает нормально через порт 22(нет проблем). В моей группе безопасности есть только разрешенные правила.

После отладки я обнаружил эти правила сетевого ACL, из которых 1 кажется странным, так как он автоматически добавляется AWS.

Правила NACL

Я считаю, что включение этого правила приводит к тому, что сайт не открывается. Или я думаю, что есть что-то серьезное. На данный момент это obs с моей стороны..

У меня настроена группа безопасности, только с разрешенными правилами
/sbin/iptables -L (ничего не показывая)
Статус Telnet порта 80 говорит ЗАКРЫТО
Статус брандмауэра: не загружен

Пожалуйста, помогите всем... Очень ценится!

Редактирование постов NACL & SG,

Экран группы безопасности

SSH через WinSCP

4

amazon-web-services http amazon-ec2 acl inbound-security-rule

Источник

user8159831 27 июл '17 в 19:52

1 ответ

Другие вопросы по тегам amazon-web-services http amazon-ec2 acl inbound-security-rule

user174777 27 июл '17 в 23:50 2017-07-27 23:50 · Answer 1 · 2017-07-27 23:50

* правило в списке управления доступом к сети (NACL) является универсальным для любых пакетов, которые не соответствуют ни одному из пронумерованных правил.

NACL на вашей картинке будет Allow любой HTTP и SSH трафик. Весь другой трафик будет запрещен.

Группы безопасности по умолчанию запрещают весь входящий трафик и разрешают весь исходящий трафик. Затем вы должны обычно добавлять правила к входящему трафику в зависимости от потребностей вашего приложения и сервера.

По умолчанию списки NACL разрешают весь входящий и исходящий трафик. Традиционно нет необходимости редактировать NACL, потому что группа безопасности является более подходящей. Однако NACL не имеет состояния, что означает, что вам необходимо разрешить трафик в обоих направлениях - входящий исходящий.

Я бы посоветовал:

Если у вас нет веских причин, сбросьте значения NACL по умолчанию (100, Весь трафик, Разрешить) как для входящих, так и для исходящих
Попробуйте подключиться к веб-серверу через его общедоступный IP-адрес, а не DNS-имя (для проверки подключения)

Если проблемы сохраняются, вы можете отредактировать свой вопрос, чтобы показать настройки группы безопасности.