Все работает как положено. Этот вопрос предназначен только для ознакомления.
Использование групп безопасности Amazon в VPC. Исходящие правила:
0.0.0.0/0 Port 80
0.0.0.0/0 Port 443
Iptables разрешает ВЫХОДНОЙ доступ к порту назначения 53.
-A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
Почему мне не нужно правило в группе безопасности для порта 53?
Я не уверен, как вы тестируете, но если это просто поиск DNS, это может быть следующее:
Группы безопасности Amazon и сетевые списки контроля доступа не фильтруют трафик к локальным адресам канала (169.254.0.0/16) или с зарезервированных адресов AWS (первые четыре IP-адреса и последний в каждой подсети). Эти адреса поддерживают следующие службы: службы доменных имен (DNS), протокол динамической конфигурации хоста (DHCP), метаданные экземпляра Amazon EC2, сервер управления ключами (KMS - управление лицензиями для экземпляров Windows) и маршрутизацию в подсети. Вы можете реализовать в своих экземплярах дополнительные брандмауэры, чтобы заблокировать сетевое взаимодействие с локальными адресами канала.
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html
Из этого я делаю вывод, что DNS будет продолжать работать в любом случае и что поиск из командной строки должен быть успешным. Если вы сделаете это с подробным выводом, вы должны увидеть локальный адрес в вашей подсети для DNS-сервера.