当我在NACL中仅允许一个IP进入子网时,无法通过该IP连接EC2(Windows)
0
【以下的问题经过翻译处理】 我在AWS上托管了一个EC2实例,该实例受到两个安全组、网络ACL和路由表的保护。
网络ACL入站规则:
| 规则编号 | 类型 | 协议 | 端口范围 | 源 | 允许/拒绝 |
|---|---|---|---|---|---|
| 10 | RDP(3389) | TCP(6) | 3389 | 49.37.0.0/16 | 允许 |
网络ACL出站规则:
| 规则编号 | 类型 | 协议 | 端口范围 | 源 | 允许/拒绝 |
|---|---|---|---|---|---|
| 10 | RDP(3389) | TCP(6) | 3389 | 49.37.0.0/16 | 允许 |
安全组1的入站规则:
| IP版本 | 类型 | 协议 | 端口范围 | 源 |
|---|---|---|---|---|
| IPV4 | RDP | TCP | 3389 | 49.37.0.0/16 |
作为安全组,允许反向流量,我没有添加任何出站规则。
路由表路由:
| 目标 | 目标 | 状态 | 传播 |
|---|---|---|---|
| ::/0 | 互联网网关 | 活动 | 否 |
| 0.0.0.0/0 | 互联网网关 | 活动 | 否 |
| 1.0.0.0/16 | 本地 | 活动 | 否 |
我尝试使用以下方法连接到EC2实例:
- 来自49.37.10.140/32的Windows远程桌面
- 端口3389的telnet
但出现了无法连接到EC2实例的错误。
请问是否有任何配置发生了错误?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 网络访问控制列表(NACL)出现了出站规则问题。
网络访问控制列表是无状态的安全层。
因此,我们需要添加一条规则来评估返回数据包。
请允许1024-65535作为临时端口,并使用出站规则49.37.10.140/32。
网络访问控制列表的出站规则如下:
| 规则编号 | 类型 | 协议 | 端口范围 | 目标地址 | 允许/拒绝 |
|---|---|---|---|---|---|
| 10 | 自定义TCP | TCP (6) | 1024 - 65535 | 49.37.10.140/32 | 允许 |
https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/vpc-network-acls.html
相关内容
AWS 官方已更新 7 个月前- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 8 个月前