我看到了一些东西而且无法理解,所以询问有关AWS NACL的信息。我创建了一个公共子网并与NACL相关联。我在NACL中创建了规则,其中80和443允许入站和出站。现在在子网中创建了一个EC2实例。当我尝试yum更新它没有用。我将子网重新连接到默认的NACL,它允许所有和yum更新工作。如果我没有错,yum会通过http或https下载软件包。我的NACL有这些规则,但yum更新仍无效。我也尝试卷曲http://packages.ap-southeast-1.amazonaws.com但没有奏效。是否有我在NACL规则中缺少的东西。
你的答案将清除我的基本面。请建议。
谢谢,
答案 0 :(得分:1)
您可以使用NACL来限制入站端口,但是您可能会遇到限制出站端口的问题。
它的工作方式是:
港口是单向的。您只能在端口上接收内容。您不从同一端口发送。这样,如果您发出了多个请求,则会在不同的端口上接收每个请求,并且可以将其与原始请求进行匹配。
因此,NACL的问题在于它只允许出站流量为80和443,这不是原始系统请求接收流量的端口。 您需要打开出站端口范围。
值得一提的是,使用NACL的用例通常是阻止特定协议。如果您只想限制对EC2实例上端口80和443的访问,您应该使用安全组。安全组有状态,因此您只需要打开入站连接,并允许出站响应。
哦,大概你也打开了22号端口,否则你将无法登录该实例。