Назад | Перейти на главную страницу

Почему экземпляр EC2 продолжает отвечать на запрос проверки связи после удаления правила группы безопасности для входящего трафика?

Играя с консолью AWS, я попробовал следующее

  1. Запущен экземпляр EC2 (общедоступный IP-адрес) в VPC по умолчанию с группой безопасности по умолчанию и подсетью по умолчанию.
  2. EC2 запущен в подсети по умолчанию с публичным IP.
  3. отправил эхо-запрос на экземпляр EC2 из командной строки, используя общедоступный IP-адрес.
  4. время ожидания запроса истекло.
  5. заметил, что правило для входящего трафика группы безопасности по умолчанию разрешает трафик только из источников в группе безопасности.
  6. изменил правило входящего трафика группы безопасности и разрешил трафик из любого места (0.0.0.0/0)
  7. снова отправил эхо-запрос на экземпляр EC2, используя общедоступный IP-адрес.
  8. получил ответ от сервера. Все хорошо до сих пор.
  9. Ответ на ping от хоста EC2 продолжает отображаться в консоли.
  10. Я удалил правило группы безопасности для входящего трафика. Теперь для группы безопасности нет входящих правил.
  11. на терминале продолжает отображаться ответ от экземпляра EC2.

Мой вопрос: почему я получаю ответ от хоста (экземпляр EC2), даже если правило для входящих подключений группы безопасности было удалено?

Разве изменение правила группы безопасности для входящего трафика не применяется немедленно? Почему хост (экземпляр EC2) продолжает отвечать без правила группы безопасности для входящего трафика?

Изменение применяется немедленно, но правила группы безопасности контролируют установку новый потоки трафика (идентифицируемые адресом источника и назначения, протоколом и номерами портов для протоколов, которые используют номера портов).

В зависимости от конкретного рассматриваемого правила потоки могут или не могут активно отслеживаться сетью, но потоки ICMP отслеживаются всегда. После того, как отслеживаемый поток установлен, потоку больше не нужно соответствовать правилу, потому что сеть создала запись в таблице состояний для потока, которая будет сохраняться до тех пор, пока сеть не удалит ее, либо из-за тайм-аута бездействия, либо из-за закрытия / сброса для протоколов с установлением соединения, таких как TCP.

Отслеживаемые потоки не прерываются удалением правила, разрешившего их создание.

Остановите пинг и перезапустите его. Если он продолжает работать, остановите его и подождите несколько секунд перед повторным запуском. Вы должны обнаружить, что вскоре после удаления правила новая попытка проверки связи с целевым экземпляром приводит к таймауту.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-connection-tracking