AWS: сетевой ACL блокирует исходящий трафик

Я внедряю REST-сервис в Amazon AWS. Внутренние сервлеты прослушивают множество портов, таких как 8080 и 9000, а Apache настроен как обратный прокси обслуживает их с правильной схемой URL-адресов, используя https на порту 443.

Сервер Apache обрабатывает аутентификацию пользователей и безопасность SSL, а внутренние порты обслуживают все запросы без аутентификации.

Естественно, я хотел бы заблокировать эти внутренние сервлеты от получения трафика извне. Я установил сетевой ACL и настроил его, используя разрешающую версию Руководство Amazon: Входящий трафик для портов 80, 443, 22 и 49152-65535 для обратного трафика, а исходящий трафик разрешен на всех портах.

Эта конфигурация блокирует исходящий трафик: например, сервер Jenkins не может получать пакеты с помощью pip или clone repos из github на порту 22. Проблема решается при включении портов 1024-65535 для входящего трафика, но эти настройки открывают внутренние сервлеты.

Почему мои исходящие звонки заблокированы? Можно ли решить эту проблему с помощью одного VPC?