Question

我已在自定义vpc中实例化了ubuntu实例。我可以连接到实例。我已经配置了NACL和一个安全组。我发现只有在允许端口1024-65535的NACL的入站接口上创建自定义TCP规则时，才能使apt-get更新正常工作。

我认为这不是一个非常安全的解决方案。这可能是由于我缺乏对apt-get的理解，但是似乎响应是通过临时端口重新出现的，但是从我在论坛上阅读的内容来看，它仅需要80端口？这是我的入站规则，其中规则95是允许其工作的规则：

有什么想法吗？

Answer 1

AWS NACL是无状态的，因此您需要允许入站返回流量用于您请求的临时端口上的响应。

Source: 0.0.0.0/0 
Protocol: TCP
Port Rage: 32768-65535 
Allow/Deny: ALLOW

如果您的意图确实是使用像NACL这样的无状态防火墙来满足高安全性要求或合规性要求。这份AWS文档对它进行了很好的描述https://docs.aws.amazon.com/vpc/latest/userguide/vpc-recommended-nacl-rules.html#nacl-rules-scenario-1

但是，仅启用安全组就可以满足一般使用情况。