VPC ACL - ICMP规则与文档

0

【以下的问题经过翻译处理】 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html文档中指出:

如果您的子网内主机之间的最大传输单元(MTU)不同,或者您的实例与互联网上的对端通信时,您必须添加以下网络ACL规则,无论是入站还是出站。这可以确保Path MTU Discovery能够正确运行并防止数据包丢失。请选择自定义ICMP规则作为类型,并为端口范围选择Destination Unreachable、fragmentation required, DF flag set(类型3、代码4)。

这似乎与控制台提供的选项不符。我只能看到Destination Unreachable作为选项,其他选项都没有。

正确的设置是什么?我开始认为VPC ACL的Web控制台部分可能存在问题 - 在验证方面遇到了错误,而且缺少像将现有ACL复制到新的ACL这样的应有功能。

profile picture
전문가
질문됨 5달 전12회 조회
1개 답변
0

【以下的回答经过翻译处理】 在编辑安全组时,您可以在“类型”列中选择“自定义ICMP”。然后可以在“协议”列中选择“Destination Unreachable”。从那里,您可以在“端口范围”列中选择“Fragmentation needed”。

之所以有点奇怪,是因为大多数其他协议使用端口来确定允许的应用程序。而对于ICMP,它有一个类型和一个子类型,因此ICMP子类型(包括Fragmentation needed但DF位已设置)是其中之一。

profile picture
전문가
답변함 5달 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인