AWS NACL和RDP问题

Question

我有一个VPC，它跨越了三个具有公用子网的可用区。每个可用区都有一个子网。这些子网中的每一个都使用NACL，该NACL应该仅允许HTTP / HTTPS / RDS / SSH连接。我在每个子网中都有一个运行的Windows服务器进行测试。

我正在使用以下入站规则：

和以下允许所有出站流量的出站规则

使用此NACL设置，我可以将RDP导入到我的实例中。在将出站规则更改为如下所示的那一刻，我将出站连接从ALL更改为仅RDP，但出现连接超时：

有人可以帮助我了解发生了什么，为什么我的RDP会话在这里失败？我想使用此实例将RDP引入同一子网上的其他实例，而又不提供允许的所有传出流量。

Answer 1

NACL强制您为外围端口添加ALLOW / DENY规则。当客户端建立套接字连接（在您的情况下为RDP）时，它在客户端提供一个外部端口以接收响应。根据操作系统的不同，会随机选择一个外围端口。

以下是AWS official documentation about ephermal port.

中提到的范围

  

许多Linux内核（包括Amazon Linux内核）使用端口   32768-61000

     

来自Elastic Load Balancing的请求使用端口1024-65535

     

Windows操作系统通过Windows Server 2003使用端口   1025-5000

     

Windows Server 2008和更高版本使用端口49152-65535

     

NAT网关使用端口1024-65535

     

AWS Lambda函数使用端口1024-65535

您需要为该范围添加NACL ALLOW规则，以具有预测的RDP会话行为。