Я создал VPC с одной публичной подсетью. Интернет-шлюз был создан и присоединен к таблице маршрутов, связанной с общедоступной подсетью. Экземпляр Linux EC2 был запущен в публичной подсети VPC под новой группой безопасности. EIP был создан и прикреплен к экземпляру.
Группа безопасности:
Правило для входящего: (Сохранение только 1 правила для входящего трафика было намеренным)
Type | Port | Source
-----------------------
SSH | 22 | 0.0.0.0/0
Исходящее правило:
Type | Port | Destination
--------------------------
HTTP | 80 | 0.0.0.0/0
HTTPS | 443 | 0.0.0.0/0
NACL:
Входящее правило:
Rule | Type | Port | Source
---------------------------------------
100. | SSH | 22 | 0.0.0.0/0
101. | HTTP | 80 | 0.0.0.0/0
102. | HTTPS | 443 | 0.0.0.0/0
103. | Custom | 32768-65535 | 0.0.0.0/0
Исходящее правило:
Rule | Type | Port | Destination
-----------------------------------------
101. | HTTP | 80 | 0.0.0.0/0
102. | HTTPS | 443 | 0.0.0.0/0
103. | Custom | 32768-65535 | 0.0.0.0/0
Я не могу получить доступ к экземпляру с указанной выше конфигурацией FW. Когда я изменяю правила для исходящего и входящего трафика NACL и разрешаю прохождение всего трафика, я могу получить доступ к экземпляру.
Я не понимаю, что не так с моей начальной конфигурацией.
Сетевые ACL без гражданства поэтому вам понадобится исходящий правило тоже
С другой стороны, группы безопасности сохранный, поэтому обратное соединение разрешено по умолчанию
Не могли бы вы попробовать добавить исходящий NACL к порту 22 и посмотрите, работает ли это.
В зависимости от того, как у вас все настроено, это может вам понадобиться.