Это связано с тем, что вы должны специально открывать как входящие, так и исходящие порты в AWS сетевых списках ACL, в отличие от групп безопасности, которые сохраняют состояние и автоматически открывают соответствующие временные порты, чтобы дать ответ на входящий сетевой запрос.
Также обратите внимание, что su bnet со шлюзом Inte rnet, обеспечивающим прямой доступ к Inte rnet, обычно называется «Publi c Su bnet», а подсети, которые должны маршрутизироваться шлюз NAT в другом su bnet обычно называется «частными подсетями».