Невозможно пропинговать экземпляр AWS EC2 с publi c IP - PullRequest
Новая
       18

Невозможно пропинговать экземпляр AWS EC2 с publi c IP

0 голосов
/ 29 марта 2020

Я не могу пропинговать мой экземпляр EC2, с которым связан IP-адрес c. Перед публикацией здесь я прочитал Невозможно пропинговать AWS EC2 экземпляр . Это не помогло:

Вот как у меня все настроено:

Я создал новый экземпляр Amazon Linux t2.micro, используя все значения по умолчанию.

После создание, он не имел IPv4 Publi c IP в EC2 | МОМЕНТЫ | Экземпляры.

Итак, я пошел в EC2 | СЕТЬ И БЕЗОПАСНОСТЬ | Elasti c IPs, и нажал кнопку Allocate Elasti c IP-адрес. После того, как в столбце адреса Publi c IPv4 был указан адрес, я щелкнул Действия | Ассоциированный Elasti c IP-адрес.

Я вернулся в EC2 | МОМЕНТЫ | Экземпляры, а в столбце IPv4 Publi c IP отображается только что созданный адрес.

Все еще не может пропинговать.

Итак, я пошел в EC2 | СЕТЬ И БЕЗОПАСНОСТЬ | Группы безопасности, щелкнули ссылку для группы безопасности, связанной с экземпляром, и добавили правило входящих и исходящих сообщений, например: 

All traffic          All        All       0.0.0.0/0 
All ICMP - IPv4      ICMP       All       0.0.0.0/0

Все еще не может пропинговать.

Итак, я перешел к VP C | Inte rnet Gateways, нажал кнопку Create inte rnet gateway, выбрал значения по умолчанию и затем подключил inte rnet gateway к VP C, который связан с экземпляром.

Все еще не может ping.

Итак, я пошел к VP C | БЕЗОПАСНОСТЬ | Сетевые ACL, Изменить входящие и Изменить исходящие правила. Вот что у меня есть для обоих: 

Rule #   Type              Protocol       Port Range      Source       Allow / Deny
100      ALL Traffic       ALL            ALL             0.0.0.0/0    ALLOW
101      All ICMP - IPv4   ICMP (1)       ALL             0.0.0.0/0    ALLOW

Все еще не может пинговать.

Что еще не хватает, чтобы иметь возможность пинговать? Да, я могу пропинговать другие хосты в моей сети ... только не для AWS и для публичного c IP-адреса, указанного для этого экземпляра EC2.

1 Ответ

2 голосов
/ 29 марта 2020

Во-первых, стоит упомянуть, что, как правило, нет необходимости каждый раз модифицировать ACL сети. Их можно использовать для специальных целей (например, для создания сетевой DMZ), но в противном случае просто оставьте для них значения по умолчанию.

Следует также отметить, что использование PING, как правило, не имеет смысла, поскольку его можно заблокировать. многими сетевыми конфигурациями. Вместо того, чтобы пытаться заставить Ping работать, вы должны попытаться заставить все, что вы на самом деле хотите * работать, работать. Например, если вы ввели sh S SH в экземпляр или используете его в качестве веб-сервера, попробуйте заставить их работать, а не Ping.

Вот вещи, которые необходимо получить PING для работы:

  • Экземпляр EC2 запускается в publi c su bnet. Это определяется как:
    • Su bnet, в котором есть Таблица маршрутов запись, которая направляет 0.0.0.0/0 к Inte rnet Шлюзу (Вы этого не сделали упомяните таблицу маршрутов в своем вопросе.)
  • A publi c IP-адрес , связанный с экземпляром (либо при запуске, либо путем добавления Elasti c IP-адрес впоследствии, как вы это сделали)
  • A группа безопасности , которая разрешает входящий трафик ICMP c с вашего адреса (или шире, например 0.0.0.0/0) )
  • операционная система в экземпляре, который настроен для ответа на запросы PING (обычно это включено по умолчанию, но именно ОС отвечает на запрос)
  • Сеть, из которой вы запрашиваете Ping, которая также разрешает такой трафик c для потока . (Некоторые корпоративные сети блокируют такой трафик c, поэтому вы можете попробовать его из другой сети, например, дома, на работе или через привязанный телефон.)

Итак, основываясь на предоставленной вами информации , вы должны подтвердить, что su bnet имеет таблицу маршрутов , которая указывает на Inte rnet шлюз .

...