S SH в частную подсеть VP C

Question

Я играю с AWS VP C и наталкиваюсь на интересный случай, которого не понимаю.

Вот что я создал на данный момент:

• VP C
• Один su bnet в этом VP C
• Inte rnet шлюз для доступа к VP C
• Таблица маршрутов для правильной маршрутизации трафика c на мой su bnet.
• Экземпляр EC2 в su bnet с группой безопасности, которая разрешает только S SH в него.
• Сетевой ACL, который разрешает только входящие и исходящие S SH с любого IP-адреса на этот su bnet.

По какой-то причине с этой настройкой Я не могу использовать S SH в своем экземпляре EC2. Однако, когда я обновляю NACL, чтобы разрешить весь исходящий TCP-трафик c I can S SH in.

Есть ли другой внешний трафик c что экземпляр EC2 должен сделать, чтобы S SH работал правильно?

Answer 1

Вы не будете включать эфемерные порты в свой NACL.

Они актуальны только для NACL в AWS.

Эфемерные порты - это порты, которые хост-машина открывает при взаимодействии с целевой порт.

Обычно рекомендуется разрешить исходящий трафик для 1024-65535.

AWS объясните это далее в их документации .

Answer 2

Это связано с тем, что вы должны специально открывать как входящие, так и исходящие порты в AWS сетевых списках ACL, в отличие от групп безопасности, которые сохраняют состояние и автоматически открывают соответствующие временные порты, чтобы дать ответ на входящий сетевой запрос.

Также обратите внимание, что su bnet со шлюзом Inte rnet, обеспечивающим прямой доступ к Inte rnet, обычно называется «Publi c Su bnet», а подсети, которые должны маршрутизироваться шлюз NAT в другом su bnet обычно называется «частными подсетями».