私はawsでVPCを設定していましたが、パブリックサブネットにインスタンスを作成しました。インスタンスはGoogleにpingできず、yumリポジトリに接続するときにタイムアウトを与えていました。curl/wgetリクエストは一時的なポートでランダムに応答しますか?
セキュリティグループは、必要なポートで開いていました。 ACLを編集してインバウンドで0.0.0.0/0からICMPを追加すると、そのインスタンスはgoogleにpingできました。しかし、yumリポジトリはまだタイムアウトを与えていました。すべてのcurl/wget/telnetコマンドがエラーを返していました。 pingだけが動作していました。
ACL 1024-65535のすべての0.0.0.0/0から、yumリポジトリに到達可能なときに、次のポート範囲をACLに追加しました。何故ですか?
アウトバウンドトラフィックはすべてACLで許可されました。なぜこれらのポートからのインバウンドを任意のサイトに接続する必要があるのでしょうか?
AWSでは、NACLはサブネットに添付されています。セキュリティグループはインスタンス(実際にはインスタンスのネットワークインターフェイス)に接続されます。
NACLインバウンドルール100を削除してから、すべての着信トラフィックをブロックするルール*を使用する必要があります。具体的な理由がない限り、NACLのデフォルトルールを使用します。 「ステートフル」なセキュリティグループを使用してアクセスを制御します。 NACLは「ステートレス」です。 NACLsため
デフォルトインバウンドルール:
ルール100 "すべてのトラフィック" ALL ALL 0.0.0.0/0が
あなたの送信を拒否0.0.0.0/0 ALL ALL * "すべてのトラフィック" 許可ルールをルールは次のようになります。
ルール100 "すべてのトラフィック" ALL ALLは0.0.0.0/0は、あなたのEC2インスタンスがへの発信を接続すると
をDENY 0.0.0.0/0 ALL ALL ルール* "すべてのトラフィックを" 許可します別のシステム、リターントラフィックは通常ポート1024〜65534の間です。ポート1〜1023は特権ポートとみなされ、HTTP(80)、HTTPS(443)、SMPT(25,465,587)などの特定のサービス用に予約されています。グループは接続試行を記憶し、必要な戻りポートを自動的に開きます。
これをクリアしていただきありがとうございます。しかし、awsがこれを推奨しているように、サブネットのすべての受信ポートを開くことは安全ですか?http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html –
アクセスを制御する2つのオプションがあります:セキュリティグループおよびNACL。あなたがNACLを理解すれば、それらを確実に使用してください。 NACLではポートが許可されているが、セキュリティグループでは拒否されているポートはDENYです。 SGとNACLの両方でポートを許可する必要があります。 –