Каким будет UDP-порт для поиска имени хоста DNS (route53)?

Question

Я контролирую входящий и исходящий трафик в подсеть, используя сетевой ACL. У меня есть Java-сервисы, работающие в EC2 RedHat и других услуги, которые работают на улице. Я использую route53 DNS для связи между Java-сервисами и другими услуги, которые работают на улице.

I am getting the error hostname is not able to resolve in java service if 
I allow traffic to the protocol DNS(UDP) 53.
  Inbound DNS(UDP) 53
  Outbound DNS(UDP) 53

It's working fine if I allow all traffic to UDP in ACL.
  Inbound All UDP
  Outbound All UDP

Какой будет правильный протокол и порт, который должен быть настроен как на входящем, так и на исходящем в сетевом ACL для устранения вышеуказанной ошибки?

Answer 1

Вы обнаружите, что это также работает:

Outbound UDP 53
Inbound UDP Any

Сетевые ACL-списки не имеют состояния, поэтому ответ на ваш вопрос на самом деле не связан с Route 53, а скорее зависит от того, какой исходный порт использует ваш Java-распознаватель. Предположительно, это эфемерный порт . Вам нужно будет определить этот порт или диапазон портов и разрешить его входящий.

Ваша конфигурация не работает, поскольку предполагается, что вы отправляете запросы, используя 53 в качестве порта source . В отличие от групп безопасности, сетевые ACL-списки автоматически не позволяют трафику ответа соответствовать разрешенным запросам. Ваша конфигурация позволяет отправлять запрос, но не позволяет вернуть ответ. Вы найдете ту же проблему, если попытаетесь разрешить, например, HTTPS. 443 входа и выхода там тоже не правильная конфигурация - это 443 входа и эфемерный диапазон входа.