SSH 进入私有 VPC 子网
SSH into private VPC subnet
我正在研究 AWS VPC,遇到了一个我不明白的有趣案例。
这是我到目前为止创建的内容:
- VPC
- 该 VPC 中的单个子网
- 允许访问 VPC 的互联网网关
- 路由 table 将流量正确路由到我的子网。
- 子网中的 EC2 实例,其安全组仅允许 SSH 进入。
- 仅允许从任何 IP 到该子网的入站和出站 SSH 的网络 ACL。
出于某种原因,使用此设置我无法通过 SSH 连接到我的 EC2 实例。但是,当我更新 NACL 以允许所有出站 TCP 流量时,我 可以 SSH 进入。
为了使 SSH 正常工作,EC2 实例是否需要一些其他 外部流量?
您不会在 NACL 中包含临时端口。
这些仅与 AWS 中的 NACL 相关。
临时端口是主机在与目标端口通信时打开的端口。
一般建议允许1024-65535出站
AWS 在其 documentation.
中进一步解释了这些
这是因为您必须在 AWS 网络 ACL 中专门打开入站和出站端口,这与有状态的安全组不同,安全组会自动打开相应的临时端口以允许为传入网络请求返回响应。
另请注意,具有提供直接访问 Internet 的 Internet 网关的子网通常称为“Public 子网”,而必须路由到另一个子网中的 NAT 网关的子网通常称为“Public 子网” “私有子网”。
我正在研究 AWS VPC,遇到了一个我不明白的有趣案例。
这是我到目前为止创建的内容:
- VPC
- 该 VPC 中的单个子网
- 允许访问 VPC 的互联网网关
- 路由 table 将流量正确路由到我的子网。
- 子网中的 EC2 实例,其安全组仅允许 SSH 进入。
- 仅允许从任何 IP 到该子网的入站和出站 SSH 的网络 ACL。
出于某种原因,使用此设置我无法通过 SSH 连接到我的 EC2 实例。但是,当我更新 NACL 以允许所有出站 TCP 流量时,我 可以 SSH 进入。
为了使 SSH 正常工作,EC2 实例是否需要一些其他 外部流量?
您不会在 NACL 中包含临时端口。
这些仅与 AWS 中的 NACL 相关。
临时端口是主机在与目标端口通信时打开的端口。
一般建议允许1024-65535出站
AWS 在其 documentation.
中进一步解释了这些这是因为您必须在 AWS 网络 ACL 中专门打开入站和出站端口,这与有状态的安全组不同,安全组会自动打开相应的临时端口以允许为传入网络请求返回响应。
另请注意,具有提供直接访问 Internet 的 Internet 网关的子网通常称为“Public 子网”,而必须路由到另一个子网中的 NAT 网关的子网通常称为“Public 子网” “私有子网”。