我应该在 AWS 中的 NAT 实例安全组上打开 ICMP 连接吗?
Should I open ICMP connections on my NAT instance security group in AWS?
我在 aws 上有一个 VPC,它有一个私有子网和一个 public 子网。我使用此场景的记录设置和 NAT 实例。
这个建议linkdocs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html
向全世界开放 TCP 端口 22; 80 和 443 到 VPC。在尝试使用来自私有网络实例的 ping 测试连接后,我意识到 ping 使用了 icmp 协议,该安全组配置完全关闭了该协议。事实上,我可以得到很好的。
我对 ICMP 会发生什么知之甚少,所以我的问题如下:是否可以阻止与我的 NAT 实例的所有 ICMP 连接?
作为次要问题,我还应该问打开所有到我的 NAT 实例的 ICMP 连接是否有问题。
是的,您可以随时阻止 ICMP。不会有任何影响。
此外,保持端口 22 对世界开放也不安全。您可以仅在需要时为您的家庭 ip 打开端口 22。
您可以禁用 ICMP,除非您特别希望将其打开以进行连接调试。
此外,除非您有非常特殊的需求,否则我强烈建议您使用 AWS NAT 网关而不是 NAT 实例:https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
我在 aws 上有一个 VPC,它有一个私有子网和一个 public 子网。我使用此场景的记录设置和 NAT 实例。
这个建议linkdocs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html 向全世界开放 TCP 端口 22; 80 和 443 到 VPC。在尝试使用来自私有网络实例的 ping 测试连接后,我意识到 ping 使用了 icmp 协议,该安全组配置完全关闭了该协议。事实上,我可以得到很好的。 我对 ICMP 会发生什么知之甚少,所以我的问题如下:是否可以阻止与我的 NAT 实例的所有 ICMP 连接?
作为次要问题,我还应该问打开所有到我的 NAT 实例的 ICMP 连接是否有问题。
是的,您可以随时阻止 ICMP。不会有任何影响。
此外,保持端口 22 对世界开放也不安全。您可以仅在需要时为您的家庭 ip 打开端口 22。
您可以禁用 ICMP,除非您特别希望将其打开以进行连接调试。
此外,除非您有非常特殊的需求,否则我强烈建议您使用 AWS NAT 网关而不是 NAT 实例:https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html