1 votes

Benoît avatar

Connexion à une instance EC2 avec des règles FW personnalisées

Demandé el 11 de Mai, 2018
Quand la question a-t-elle été
123 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai créé un VPC avec un sous-réseau public. Une passerelle Internet a été créée et attachée à la table de routage associée au sous-réseau public. L'instance Linux EC2 a été lancée dans le sous-réseau public du VPC sous un nouveau groupe de sécurité. L'EIP a été créé et attaché à l'instance.

Groupe de sécurité :

Règle de réception : (le fait de ne conserver qu'une seule règle de réception était intentionnel)

Type | Port | Source  
-----------------------
SSH  | 22   | 0.0.0.0/0

Règle de sortie :

Type  | Port | Destination
--------------------------
HTTP  | 80   | 0.0.0.0/0
HTTPS | 443  | 0.0.0.0/0

NACL :

Règle de l'entrant :

Rule | Type   | Port        | Source  
---------------------------------------
100. | SSH    | 22          | 0.0.0.0/0
101. | HTTP   | 80          | 0.0.0.0/0
102. | HTTPS  | 443         | 0.0.0.0/0
103. | Custom | 32768-65535 | 0.0.0.0/0

Règle de sortie :

Rule | Type   | Port        | Destination
-----------------------------------------
101. | HTTP   | 80          | 0.0.0.0/0
102. | HTTPS  | 443         | 0.0.0.0/0
103. | Custom | 32768-65535 | 0.0.0.0/0

Je n'arrive pas à accéder à l'instance avec la configuration FW ci-dessus. Lorsque je modifie les règles NACL sortantes et entrantes et que j'autorise tout le trafic à passer, je peux accéder à l'instance.

Je ne comprends pas ce qui ne va pas dans ma configuration initiale.

Demandé el 11 de Mai, 2018 par Benoît

Réponses

Trop de publicités?

1voto

Kelly Elliotson avatar
Kelly Elliotson Points 19

Les ACL réseau sont apatride Vous aurez donc besoin d'un sortant règle aussi

Les groupes de sécurité, quant à eux, sont à l'état pur La connexion de retour est donc autorisée par défaut

Répondu el 11 de Mai, 2018 par Kelly Elliotson (19 Points )

0voto

Chris_Work avatar
Chris_Work Points 56

Pourriez-vous essayer d'ajouter un sortant NACL sur le port 22 et voir si cela fonctionne.

En fonction de votre configuration, il se peut que vous en ayez besoin.

Répondu el 11 de Mai, 2018 par Chris_Work (56 Points )

0 votes

Avatar de Benoît

Merci Chris pour la suggestion. J'ai réessayé et ma configuration existante a fonctionné comme par magie sans qu'aucune règle n'ait été modifiée. Si j'ai bien compris, toutes les règles personnalisées définies au niveau de la NACL nécessiteront des règles similaires définies au niveau du SG. La règle ICMP In/Outbound définie au niveau du NACL nécessitera une règle similaire définie au niveau du SG pour permettre au trafic ICMP d'être envoyé depuis l'instance.

Commenté el 14 de Mai, 2018 par Benoît

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X