Centos
AWS 出站 ACL 規則對傳入 ssh 連接的影響
我正在 AWS EC2 實例中的 CentOS 7 上製作堡壘 ssh 伺服器。當我在其 ACL 中使用以下規則時,我能夠很好地連接到伺服器:
入境規則
- 允許來自我客戶端 IP 的埠 22 上的流量
- 阻止所有其他流量
出站規則
- 允許所有流量到我客戶的 IP
- 阻止所有其他流量
AWS ACL 規則與 iptables 粗略相似;它們可能只不過是亞馬遜雲基礎設施中實施的一組 iptable 規則的簡化 Web 界面。
我的理解是,出站規則集適用於從伺服器發出的任何數據包——無論連接的哪一端啟動了連接。
此外,我的理解是,當使用客戶端發起的連接時,我的 ssh 伺服器只會通過埠 22 發送 ssh 流量。
但是當我使用以下規則集時,我不再能夠通過 ssh 連接到我的伺服器:
入境規則
- 允許來自我客戶端 IP 的埠 22 上的流量
- 阻止所有其他流量
出站規則
- 允許埠 22 上的流量到我客戶的 IP
- 阻止所有其他流量
AWS 的所有其他可以阻止流量的功能都已設置為允許所有流量;iptables 也已設置為允許實例作業系統中的所有流量。
當伺服器上的出站流量限制在埠 22 時,為什麼我的客戶端無法建立 SSH 連接?
AWS 中的 ACL 是無狀態防火牆,這意味著它將所有請求(入站或出站)視為獨立連接。因此,如果您嘗試允許從客戶端訪問伺服器的埠 22,則需要啟用兩者(入站到伺服器的埠 22 + 出站到隨機
$$ 1024-65535 $$客戶端的埠)雙方的連接。 然而,如果您正在處理“安全組”,您只需要允許入站到埠 22。這只是因為“安全組”是一個有狀態的防火牆並且它會跟踪入站連接,因此您不需要明確允許出站連接到客戶端的隨機
$$ 1024-65535 $$港口。