Назад | Перейти на главную страницу

Не удается проверить связь с экземпляром ec2 из другого экземпляра ec2 в другой учетной записи

Я хочу установить хост для хостинга libreswan ipsec VPN. Я сделал следующее.

  1. Создан экземпляр ubuntu ubuntu-1 по умолчанию vpc в 1-м аккаунте.
  2. Назначил EIP и группу безопасности моему экземпляру ubuntu, разрешив TCP-порт 1701, UDP-порт 4500,500 и включенный All ICMP в любом месте.
  3. Создан экземпляр ubuntu ubuntu-2 в VPC не по умолчанию в публичной подсети 2-го аккаунта.
  4. Назначил EIP и группу безопасности экземпляру ubuntu, разрешив TCP-порт 1701, UDP-порт 4500,500 и включил все ICMP в любом месте.

Я могу пинговать ubuntu-2 из ubuntu-1 экземпляр, однако я не могу пинговать ubuntu-1 из ubuntu-2 пример.

Я не уверен, что не так с моим ubuntu-2 пример. Его общедоступной подсети назначен интернет-шлюз. Все правила группы безопасности зеркалируются для обоих серверов.

Безопасность экземпляра зависит от группы безопасности. В вашем сценарии, как вы уже упоминали, вы разрешили порт ICMP из любого места в обеих группах безопасности. Еще один аспект безопасности, который мы можем рассмотреть, - это сетевой ACL. Сетевые ACL не сохраняют состояние. Вы должны проверить сетевые ACL для подсети экземпляра ubuntu-2. Протокол ICMP - это протокол типа запроса и ответа, поэтому правила для входящего и исходящего трафика должны быть разрешены сетевым ACL подсети ubuntu-2.