Question

Если мы хотим отправить ping из экземпляра EC2, должно быть правило для исходящих сообщений (в группе безопасности, прикрепленной к этому экземпляру), которое разрешает эхо-запросы. Поскольку группы безопасности имеют статус ответа, трафик на этот запрос будет разрешен независимо от входящих правил. Нет необходимости в определенном входящем правиле, которое разрешит эхо-ответ. EC2, который получает этот эхо-запрос, должен иметь группу безопасности, связанную с входящим правилом, разрешающим эхо-запросы. Аналогично, нет необходимости в определенном исходящем правиле, которое позволит эхо-ответ.

Так почему же есть возможность создавать правила для эхо-ответа?

Похоже, это не имеет никакого смысла. Единственное, что мне приходит в голову, это разрешить отправку эхо-ответа без получения эхо-запроса, но это не кажется практичным или даже правильным использованием ICMP.

Michael - sqlbot · Answer 1 · 03 мая 2019

Нет очевидной причины, по которой этот вариант разрешен, кроме как, возможно, для полноты или из-за необычных случаев (по общему признанию, ни один из них не приходит в голову), когда можно ожидать или желать нежелательный эхо-ответ.

Как вы указали, состояние групп безопасности с сохранением состояния должно фактически исключать использование этой функции.

Почему существует возможность создавать правила для ICMP Echo Reply в группах безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Почему существует возможность создавать правила для ICMP Echo Reply в группах безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы