Я новичок в AWS и экспериментирую с правилами NACL. Я просмотрел порядок оценки правил по умолчанию Amazon VPC NACL, чтобы понять, как NACL правила работают.
Я создал тестовый экземпляр EC2 (с NGINX) в общедоступной подсети с некоторым эластичным IP-адресом. Я добавил EC2 в группу безопасности по умолчанию, которая разрешает весь трафик на всех портах. Я изначально настроил NACL для блокировки всего трафика. Это сработало нормально, потому что я не мог подключиться к моему экземпляру по SSH или HTTPS. Моя цель - разрешить 0.0.0.0/0 HTTP-порт 80 в моем экземпляре.
Понимая, что NACL не имеют состояния, я добавил связь с / от 0.0.0.0/0 на всех TCP-портах. Это сработало нормально.
Теперь я подумал об ограничении входящего и исходящего порта 80. Однако, используя это, я не смог получить доступ к тестовой странице NGINX.
Я заметил, что если я изменю правило исходящего трафика, чтобы разрешить все порты, я смогу получить доступ к странице NGINX. Я не уверен, почему это происходит.
Нужно ли мне также добавлять временные порты? https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-ephemeral-ports