Группа безопасности EC2 не разрешает пинг исходящих

Question

Группа безопасности EC2 не разрешает пинг исходящих

Я знаю, что группа безопасности является STATEFUL, что означает, что, если входящий или исходящий трафик управляется, в другой будет назначено правило связывания для отправки трафика.

Учитывая это, я создал собственный VPC и общедоступную подсеть. Я успешно прошел ssh-ed в одном из общедоступных экземпляров из моей сети. Но я не могу пропинговать один публичный компьютер другому в той же подсети! даже когда я добавлю это входящее правило, которое

Весь трафик Все ВСЕ sg-xxx

Приведенное выше правило должно автоматически учитывать исходящие данные для каждого экземпляра в той же группе безопасности. Но это не так

Итак, я должен добавить вручную исходящее правило снова с помощью:

ВСЕ ДВИЖЕНИЯ ВСЕ ВСЕ sg-xxx

почему это происходит?

1

amazon-web-services amazon-ec2 aws-security-group

Источник

user1596226 19 июл '16 в 06:18

1 ответ

Другие вопросы по тегам amazon-web-services amazon-ec2 aws-security-group

user174777 19 июл '16 в 12:41 2016-07-19 12:41 · Answer 1 · 2016-07-19 12:41

Похоже, что ваша ситуация:

Два экземпляра (назовите их A и B) в одной подсети
Группа безопасности была применена к обоим экземплярам
Группа безопасности была настроена с правилом входящего трафика, разрешающего весь трафик
Вы не можете пропинговать от одного экземпляра до другого

Для экземпляра A для проверки связи с экземпляром B необходимо следующее:

Исходящее правило для группы безопасности, связанной с экземпляром A, разрешающее трафик ICMP
Правило входящей почты для группы безопасности, связанной с экземпляром B, которая разрешает трафик ICMP
Обратный трафик от экземпляра B к экземпляру A будет разрешено покинуть экземпляр B из-за состояния группы безопасности
Обратный трафик от экземпляра B к экземпляру A будет разрешен для входа в экземпляр A из-за состояния группы безопасности с состоянием

Поскольку вы используете одну и ту же группу безопасности для обоих экземпляров, вам необходимо разрешить как входящий, так и исходящий доступ. В качестве альтернативы вы можете использовать две разные группы безопасности:

Одна группа безопасности в экземпляре A, разрешающая исходящий трафик
Одна группа безопасности в экземпляре B, разрешающая входящий трафик

Важно понимать, что группа безопасности определяет правила для входящих и исходящих сообщений. Несколько экземпляров, связанных с одной и той же группой безопасности, имеют правила, применяемые к каждому экземпляру в отдельности. В отличие от сетевых подсетей, экземпляры с одной и той же группой безопасности не находятся "внутри" группы безопасности - они просто имеют одинаковые правила.