Назад | Перейти на главную страницу

Брандмауэр: требуется ли входящее правило для получения SYN-ACK с сервера, когда исходящее правило уже существует?

У меня есть VPC, в котором у меня развернут экземпляр EC2 в частной подсети.

У меня NACL (брандмауэр подсети) РАЗРЕШИТЬ ВСЕ для входящих и исходящих.

У меня есть правило группы безопасности (брандмауэр Ec2), оно блокирует общедоступный IP-адрес при входящем правиле и разрешает доступ к общедоступному миру при исходящем правиле.

Теперь мой экземпляр EC2 инициирует соединение с поставщиком звонков (twilio) и инициирует звонок, и это успешно.

Из моего приложения ec2 он инициирует трехстороннее рукопожатие. Поскольку мое исходящее правило - РАЗРЕШИТЬ все, он достигает twilio через NAT. Пакет будет похожим (IP-адрес источника: это IP-адрес NAT и случайный номер порта, а IP-адрес назначения: IP-адрес twilio и номер порта прослушивания службы)

Затем twilio принимает запросы и выдает ответ SYN-ACK серверу ec2. Теперь пакет будет иметь вид (IP-адрес источника: IP-адрес twilio и случайный номер порта и IP-адрес назначения: IP-адрес NAT экземпляра Ec2, а номер порта (Случайный номер порта, инициированный источником Ec2).)

Теперь мой вопрос: несмотря на то, что правило Inbound не разрешает IP-адрес twilio, как трехстороннее рукопожатие прошло успешно?

Группы безопасности AWS отслеживают состояние.

если вы отправляете запрос из своего экземпляра, ответный трафик для этого запроса может поступать независимо от правил группы безопасности для входящего трафика. Ответы на разрешенный входящий трафик могут исходить независимо от правил исходящего трафика.

Несмотря на то, что вы блокируете общедоступные IP-адреса, входящие через группу безопасности, вы разрешаете исходящие соединения, которые разрешают обратный трафик / квитирование.

Ссылки

Группы безопасности VPC