curl/wget 요청이 임시 임시 포트에서 응답합니까?

Question

aws에서 VPC를 설정할 때 공용 서브넷에 인스턴스를 만들었습니다. 인스턴스가 Google에 ping을 수행 할 수 없어 yum 저장소에 연결할 때 시간 초과가 발생했습니다.

보안 그룹이 필요한 포트로 열려 있습니다. 인바운드에서 0.0.0.0/0의 ICMP를 추가하도록 ACL을 편집 할 때 인스턴스가 Google에 핑 (ping) 할 수있었습니다. 그러나 yum 저장소는 여전히 타임 아웃을 제공하고있었습니다. 모든 curl/wget/telnet 명령이 오류를 반환했습니다. 핑 만 작동했습니다.

yum 저장소에 도달 할 수있는 모든 0.0.0.0/0에서 ACL 1024-65535의 인바운드에 대한 다음 포트 범위를 추가했습니다. 왜 그런가요?

아웃 바운드 트래픽이 ACL에 모두 허용되었습니다. 이 포트에서 인바운드를 허용하여 사이트에 연결할 필요가있는 이유는 무엇입니까?

Answer 1

AWS에서 NACL은 서브넷에 연결됩니다. 보안 그룹은 인스턴스 (실제로는 인스턴스의 네트워크 인터페이스)에 연결됩니다.

모든 들어오는 트래픽을 차단하는 규칙 *을 사용하는 NACL 인바운드 규칙 100을 삭제해야합니다. 특별한 이유가 없으면 NACL의 기본 규칙을 사용합니다. "상태있는"보안 그룹을 사용하여 액세스를 제어하십시오. NACL은 "무국적자"입니다. NACLs에 대한

기본 인바운드 규칙 :

규칙 100 "모든 트래픽은"ALL 0.0.0.0/0이 허용 ALL 규칙 * "모든 트래픽은"ALL ALL 0.0.0.0/0

아웃 바운드을 DENY 규칙은 다음과 같아야합니다

규칙 100 "모든 트래픽"ALL ALL 0.0.0.0/0은 EC2 인스턴스가 아웃 바운드 연결하면 규칙 * "모든 트래픽이"ALL ALL 0.0.0.0/0

을 DENY 허용 다른 시스템, 포트 1-1023은 특권 포트로 간주되며 HTTP (80), HTTPS (443), SMPT (25, 465, 587) 등과 같은 특정 서비스 용으로 예약됩니다. A 보안 그룹은 연결 시도를 기억하고 필요한 반환 포트를 자동으로 엽니 다.