Запутался из-за S SH в частном экземпляре EC2 из публичного c EC2 экземпляра

Question

У меня есть два отдельных NACL, один для моей публикации c su bnet и один для моего частного su bnet. Я могу S SH в мой экземпляр publi c EC2, но не могу S SH в частный без добавления правила для исходящего для моего частного NACL, которое позволяет открывать ВСЕ TCP. Что меня смущает, так это то, что S SH терпит неудачу, если я указываю только порт 22, который должен быть открыт в моем частном правиле исходящих и входящих NACL.

Answer 1

Как правило, , вы никогда не должны изменять NACL . Они могут использоваться для определенных c целей (таких как создание DMZ), но редко требуется менять их на их стандартные настройки «Разрешить все».

Вместо этого вы должны использовать Группы безопасности для управления сетевыми разрешениями.

Типичная конфигурация для вашего сценария будет:

• В Publi c ( Бастион ) Например, добавьте группу безопасности (Bastion-SG), которая разрешает входящие соединения через порт 22 (S SH) с вашего IP-адреса (рекомендуется ограничить такой доступ минимально возможным диапазоном IP-адресов, чтобы предотвратить несанкционированный доступ )
• В экземпляре Private добавьте группу безопасности (Private-SG), которая разрешает входящие соединения через порт 22 с Bastion-SG

. Таким образом, Private-SG специально ссылается на Bastion-SG, что разрешает соединения с Бастиона. Попытки доступа из любого другого места будут отклонены.

Группы безопасности: с состоянием , что означает, что трафик возврата c будет разрешен. Это хорошо работает с S SH, который может использовать диапазон различных номеров портов для обратного трафика c.

Answer 2

NACL не имеют состояния и требуют как входящих, так и исходящих правил, чтобы разрешить определенный тип c связи. Например, если вы хотите получить доступ к экземпляру ec2 при использовании s sh (tcp port 22), то в входящее направление, вам нужно будет разрешить tcp порт 22 и для исходящего направления, поскольку порт назначения может быть любым в диапазоне 1024-65535 (в зависимости от операционной системы клиента), вам нужно будет иметь такое правило для s sh доступ.

Входящий
Тип правила Тип протокола Диапазон портов Источник Разрешить / Запретить
101 S SH TCP 22 (IP-адрес КЛИЕНТА или 0.0.0.0/0) Разрешить
Исходящий
Тип правила Тип порта Диапазон портов Назначение Разрешить / Запретить
101 Пользовательский TCP TCP 1024-65535 (IP-адрес КЛИЕНТА или 0.0.0.0/0) Разрешить

ref: https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#custom -network-acl

Теперь специально для ваших настроек необходимо создавать правила в зависимости от того, как вы пытаетесь получить доступ к вашему экземпляру ec2 в приватном су bnet .Если вы используете бастионный хост для подключитесь к своему экземпляру ec2 в частном порядке su bnet, тогда вам нужно будет разрешить этот ip / port в правиле исходящего nacl. Если вы используете VPN, то правила должны быть изменены соответствующим образом. Возможно, более подробная информация о правиле nacl в вашей публикации c и в личном су bnet, а также то, как вы обращаетесь к экземплярам, ​​должно помочь нам предоставить более подробную информацию о проблеме.