использовать yum в частной подсети AWS EC2

Question

Я пытаюсь использовать yum в экземпляре частной подсети для использования шлюза NAT

, поэтому мои настройки VPC следующие. Настройка VPC
Я установил свою группу безопасности частной подсети следующим образом Настройка группы безопасности частной подсети
и я установил свой ACL частной подсети следующим образом Настройка ACL для частной подсети

Я открываю порт TCP в ACL, но я не открываю порт в группе безопасности без ssh Однако я могу использовать yum в экземплярах частной подсети

Интересно, почему я могу использовать yum в экземплярах частной подсети?

Answer 1

Правила, установленные вами для вашей группы безопасности, являются «входящими». Команда Linux yum устанавливает «исходящие» соединения. «Входящие» правила не действуют для «исходящих» соединений.

Группы безопасности AWS являются «умными». Это означает, что при установлении соединения (входящего или исходящего) порт возврата автоматически открывается. Даже если в вашей входящей группе безопасности нет открытых портов, исходящее соединение все равно будет успешным.

Сетевые ACL разные. Они "тупые". Это означает, что входящий порт должен быть открыт для исходящего соединения. В вашем случае вы открыли порты 1024 - 65535, что позволяет исходящему соединению быть успешным. Если вы закроете эти порты, yum перестанет работать.

Примечание: порты ниже 1024 зарезервированы и требуют «привилегий». Для обычных исходящих соединений обратный порт будет выше 1024.