VPC ACL - ICMP规则与文档

0

【以下的问题经过翻译处理】 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html文档中指出:

如果您的子网内主机之间的最大传输单元(MTU)不同,或者您的实例与互联网上的对端通信时,您必须添加以下网络ACL规则,无论是入站还是出站。这可以确保Path MTU Discovery能够正确运行并防止数据包丢失。请选择自定义ICMP规则作为类型,并为端口范围选择Destination Unreachable、fragmentation required, DF flag set(类型3、代码4)。

这似乎与控制台提供的选项不符。我只能看到Destination Unreachable作为选项,其他选项都没有。

正确的设置是什么?我开始认为VPC ACL的Web控制台部分可能存在问题 - 在验证方面遇到了错误,而且缺少像将现有ACL复制到新的ACL这样的应有功能。

profile picture
EXPERTE
gefragt vor 5 Monaten14 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 在编辑安全组时,您可以在“类型”列中选择“自定义ICMP”。然后可以在“协议”列中选择“Destination Unreachable”。从那里,您可以在“端口范围”列中选择“Fragmentation needed”。

之所以有点奇怪,是因为大多数其他协议使用端口来确定允许的应用程序。而对于ICMP,它有一个类型和一个子类型,因此ICMP子类型(包括Fragmentation needed但DF位已设置)是其中之一。

profile picture
EXPERTE
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen