Невозможно соединиться с моим экземпляром EC2, если не разрешить весь входящий трафик

Question

Невозможно соединиться с моим экземпляром EC2, если не разрешить весь входящий трафик

У меня есть проблема, из-за которой мой экземпляр Linux EC2 не может делать ничего исходящего (ping, curl, yum update, wget, traceroute и т. Д.), Если у меня нет набора правил в моем наборе правил для входящих ACL-списков VPC, который разрешает весь трафик.

Моя группа безопасности и VPC имеют исходящие правила, которые разрешают весь трафик ко всему.

Список входящих групп безопасности, прикрепленный к экземпляру, выглядит следующим образом:

И список входящих VPC выглядит следующим образом (правило 200, о котором я говорю):

Если я удаляю входящее правило, разрешающее весь трафик (правило 200), то я ничего не могу сделать исходящим.

Может ли быть что-то, что я скучаю? Спасибо!

1

amazon-web-services amazon-ec2

Источник

user880874 28 мар '17 в 15:28

1 ответ

Решение

Другие вопросы по тегам amazon-web-services amazon-ec2

user13070 28 мар '17 в 16:31 2017-03-28 16:31 · Accepted Answer · 2017-03-28 16:31

Правила ACL не имеют состояния, что означает, что они не отслеживают ваши исходящие соединения при оценке входящих соединений. Поэтому, если вы создаете исходящее соединение с сервером, правило ACL будет блокировать ответ этого сервера, если вы явно не разрешили входящие соединения с этого сервера в ACL.

Это одна из основных причин, по которой большинство людей используют только группы безопасности (с состоянием) вместо правил ACL. Если посмотреть на правила вашей сети ACL, то там ничего не происходит, что еще не охвачено правилами вашей группы безопасности, так зачем использовать ACL?