代码之家 › 专栏 › 技术社区 › Arati Kulkarni

curl/wget请求是否在随机临时端口上响应?

traffic amazon-vpc acl port amazon-web-services

0

Arati Kulkarni · 技术社区 · 7 年前

当我在aws中设置VPC时,我在公共子网中创建了一个实例。该实例无法ping到google,并且在连接到yum存储库时超时。

安全组已打开所需的端口。当我在inbound中编辑ACL以从0.0.0.0/0添加ICMP时,该实例能够ping到google。但yum存储库仍在超时。所有curl/wget/telnet命令都返回错误。只有平在工作。

当我在ACL 1024-65535中从所有0.0.0.0/0中为inbound添加以下端口范围时,也就是可以访问yum存储库的时候。为什么会这样?

出站流量为allow all-in ACL。为什么我们需要允许来自这些端口的入站连接到任何站点?

1 回复 | 直到 7 年前

1

0

John Hanley 7 年前

在AWS中,NACL连接到子网。安全组附加到实例(实际上是实例的网络接口)。

您必须已删除NACL入站规则100,该规则随后使用规则*,该规则阻止所有传入流量。除非您有特定的原因,否则我会在您的NACL中使用默认规则。使用“有状态”的安全组控制访问。NACL是“无状态的”。

NACL的默认入站规则:

规则100“所有流量”所有所有0.0.0.0/0允许规则*“所有流量”所有所有0.0.0.0/0拒绝

出站规则应如下所示:

规则100“所有流量”所有所有0.0.0.0/0允许规则*“所有流量”所有所有0.0.0.0/0拒绝

当EC2实例连接出站到另一个系统时,返回流量通常在端口1024到65534之间。端口1-1023被视为特权端口,并为特定服务保留,如HTTP(80)、HTTPS(443)、SMPT(25465587)等。安全组将记住连接尝试并自动打开所需的返回端口。