当我在NACL中仅允许一个IP进入子网时,无法通过该IP连接EC2(Windows)

0

【以下的问题经过翻译处理】 我在AWS上托管了一个EC2实例,该实例受到两个安全组、网络ACL和路由表的保护。

网络ACL入站规则:

规则编号类型协议端口范围允许/拒绝
10RDP(3389)TCP(6)338949.37.0.0/16允许

网络ACL出站规则:

规则编号类型协议端口范围允许/拒绝
10RDP(3389)TCP(6)338949.37.0.0/16允许

安全组1的入站规则:

IP版本类型协议端口范围
IPV4RDPTCP338949.37.0.0/16

作为安全组,允许反向流量,我没有添加任何出站规则。

路由表路由:

目标目标状态传播
::/0互联网网关活动
0.0.0.0/0互联网网关活动
1.0.0.0/16本地活动

我尝试使用以下方法连接到EC2实例:

  • 来自49.37.10.140/32的Windows远程桌面
  • 端口3389的telnet

但出现了无法连接到EC2实例的错误。

请问是否有任何配置发生了错误?

profile picture
专家
已提问 6 个月前38 查看次数
1 回答
0

【以下的回答经过翻译处理】 网络访问控制列表(NACL)出现了出站规则问题。

网络访问控制列表是无状态的安全层。

因此,我们需要添加一条规则来评估返回数据包。

请允许1024-65535作为临时端口,并使用出站规则49.37.10.140/32。

网络访问控制列表的出站规则如下:

规则编号类型协议端口范围目标地址允许/拒绝
10自定义TCPTCP (6)1024 - 6553549.37.10.140/32允许

https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/vpc-network-acls.html

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则