如何为私有子网创建 NACL?
How to create NACL for private subnets?
我有两个具有 CIDR 的 public 子网 - 10.100.0.0/24 和 10.100.3.0/24。
我正在尝试为私有子网添加 NACL,但我无法使用以下配置访问私有子网。
谁能帮我解决这个问题?
我创建了两个 NACL,一个用于 public 子网,一个用于私有子网
public子网入站规则]
public 子网出站规则
私有子网入站规则
答案:
将以下规则添加到私人出站
创建 NACL 时,您需要考虑入站和出站连接。安全组和 NACL 之间的一个主要区别是安全组是有状态的(如果流量可以入站,它也可以出站),而 NACL 会评估两个方向的流量。
此外,您需要确保将 ephemeral port ranges 添加到您的规则中。
传统上人们会为临时端口添加 1024-65535 范围,因为它基本上匹配所有场景。
AWS 在这方面有 whole page,请看一看。
我有两个具有 CIDR 的 public 子网 - 10.100.0.0/24 和 10.100.3.0/24。
我正在尝试为私有子网添加 NACL,但我无法使用以下配置访问私有子网。
谁能帮我解决这个问题?
我创建了两个 NACL,一个用于 public 子网,一个用于私有子网
public子网入站规则]
答案:
将以下规则添加到私人出站
创建 NACL 时,您需要考虑入站和出站连接。安全组和 NACL 之间的一个主要区别是安全组是有状态的(如果流量可以入站,它也可以出站),而 NACL 会评估两个方向的流量。
此外,您需要确保将 ephemeral port ranges 添加到您的规则中。
传统上人们会为临时端口添加 1024-65535 范围,因为它基本上匹配所有场景。
AWS 在这方面有 whole page,请看一看。