VPC ACL - ICMP规则与文档
0
【以下的问题经过翻译处理】 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html文档中指出:
如果您的子网内主机之间的最大传输单元(MTU)不同,或者您的实例与互联网上的对端通信时,您必须添加以下网络ACL规则,无论是入站还是出站。这可以确保Path MTU Discovery能够正确运行并防止数据包丢失。请选择自定义ICMP规则作为类型,并为端口范围选择Destination Unreachable、fragmentation required, DF flag set(类型3、代码4)。
这似乎与控制台提供的选项不符。我只能看到Destination Unreachable作为选项,其他选项都没有。
正确的设置是什么?我开始认为VPC ACL的Web控制台部分可能存在问题 - 在验证方面遇到了错误,而且缺少像将现有ACL复制到新的ACL这样的应有功能。
1개 답변
- 최신
- 최다 투표
- 가장 많은 댓글
0
【以下的回答经过翻译处理】 在编辑安全组时,您可以在“类型”列中选择“自定义ICMP”。然后可以在“协议”列中选择“Destination Unreachable”。从那里,您可以在“端口范围”列中选择“Fragmentation needed”。
之所以有点奇怪,是因为大多数其他协议使用端口来确定允许的应用程序。而对于ICMP,它有一个类型和一个子类型,因此ICMP子类型(包括Fragmentation needed但DF位已设置)是其中之一。
관련 콘텐츠
AWS 공식업데이트됨 2년 전- AWS 공식업데이트됨 7달 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 일 년 전
