Безопасно ли открывать правило входящего брандмауэра из источника 0.0.0.0/0 для получения входящего обратного IPv4-трафика из Интернета (мне это нужно только для запросов, исходящих из подсети)?
Я создаю частное приложение, которое работает с несколькими API с веб-сайтов, я хочу иметь возможность получать информацию о своих вызовах из этих API, но остальная часть моей системы и файлы не должны быть доступны из Интернета.
Я создал входящее настраиваемое правило TCP для диапазона портов протокола TCP (6) 1024-65535 из источника 0.0.0.0/0
Другие настройки брандмауэра, которые у меня есть: входящий разрешен из SSH только с выделенного IP-адреса (так что я могу подключиться к домашнему компьютеру) и исходящие HTTP и HTTPS для выполнения вызовов API.
Боюсь, что с этой настройкой я открою порт для разного трафика и потенциальных злоумышленников. Я получил это предложение правила отсюда aws doc # 140 inbound и поместил его в правила для входящих подключений моей группы безопасности. Если это небезопасно, я думаю, мне нужно создать систему с отдельным экземпляром, чтобы получать эту информацию, а затем пересылать на более частный экземпляр, однако я не хочу терять скорость и уверенность, если в этом нет необходимости.
Связанный документ предназначен для ACL вашей сети VPC, а не для вашего конкретного экземпляра. Вы должны открыть Эфемерные порты в этом ACL. Однако вашему экземпляру нужны только порты, открытые для запросов, исходящих извне (например, SSH). Если запрос исходит от вашего экземпляра, вам не нужно открывать дополнительные группа безопасности rules, просто убедитесь, что ваше исходящее правило позволяет делать запросы к чему угодно.