Сетевые ACL AWS, нарушающие подключение по SSH
Я пытаюсь настроить сетевые ACL в качестве второго уровня безопасности для производственных экземпляров. Кажется, что каждый раз, когда я привязываю нестандартный сетевой ACL к моей частной подсети, он прерывает все соединения SSH. Я не уверен, что делаю не так.
Сетевой ACL, который я пытаюсь реализовать, выглядит так:
Обратите внимание, что там есть 3 правила SSH:
- Первый - для подключения из локальных экземпляров VPC.
- Второй - для подключения к одноранговому VPC.
- Третий - для подключения из офиса моей компании (я понимаю, что не могу подключиться к частным экземплярам через SSH без клиентского шлюза ... это для общедоступных экземпляров, которые используют тот же сетевой ACL)
Вот простой эксперимент по воспроизведению результатов:
- Убедитесь, что все подсети экземпляра используют сетевой ACL по умолчанию (0.0.0.0/0 ALLOW)
- Подключитесь через SSH к одноранговому экземпляру в одноранговом VPC (192.168.0.x)
- SSH в частный экземпляр через частный IP (успех)
- Отключиться от частного экземпляра
- Измените ACL частной подсети на приведенный выше
- Повторно подключиться к частному экземпляру (не удалось)
Я могу повторить описанные выше шаги, используя общедоступный экземпляр в том же VPC (10.0.0.x) через SSH из офиса, и возникает та же проблема.
Я понятия не имею, что не так. Пожалуйста, порекомендуйте.
Та часть, которую мне не хватало, связана с исходящими правилами. Мои исходящие правила были установлены на PORT 22 192.168.0.0/0 ALLOW. Поскольку сетевые ACL не сохраняют состояние, любые временные порты могут нарушить работу.
Я открыл все исходящие правила, и SSH работает.