为什么有一个选项可以在安全组中为 ICMP Echo Reply 创建规则?
Why is there an option to create rules for ICMP Echo Reply within security groups?
如果我们想从 EC2 实例发送 ping,则必须有允许回显请求的出站规则(在附加到该实例的安全组中)。由于安全组是有状态的,因此无论入站规则如何,都将允许该请求的响应流量。不需要允许回显响应的特定入站规则。接收此 ping 的 EC2 必须具有附加了允许回显请求的入站规则的安全组。类似地,不需要允许回显响应的特定出站规则。
那么为什么有创建回显回复规则的选项?
好像没什么用。 我唯一想到的是允许在不接收回声请求的情况下发送回声回复,但这似乎不切实际,甚至不正确使用 ICMP。
没有明显的理由允许使用此选项,除了可能是为了完整性,或者是因为不寻常的情况(诚然,none 想到了)可能会预期或希望收到未经请求的回显回复。
正如您所指出的,安全组规则的状态性质应该使得实际使用此功能没有必要。
要添加到上面的正确响应中,是的,对于有状态的安全组,无需添加 echo reply。我相信这与 NACL 配置 相关,它是无状态的,需要显式添加入站和出站规则。所以这意味着 NACL 需要在下面,因此在这里有意义:
- echo 请求 的 NACL 入站允许规则
- echo reply 的 NACL 出站允许规则
AWS 控制台 UI 中的 protocol 下拉列表似乎只是使用与 NACL 相同的协议集(可能与控制台设计中的 UI 组件相同),但对于状态安全组的 echo reply 当然没有意义。