As ACLs de rede são sem estado , portanto você precisará de uma regra de saída
Os grupos de segurança, por outro lado, são stateful , portanto, a conexão de retorno é permitida por padrão
Eu criei uma VPC com uma sub-rede pública. O gateway da Internet foi criado e anexado à tabela de rotas associada à sub-rede pública. A instância do Linux EC2 foi lançada na sub-rede pública do VPC sob um novo grupo de segurança. O EIP foi criado e anexado à instância.
Grupo de segurança:
Regra de entrada: (manter apenas 1 regra de entrada foi intencional)
Type | Port | Source
-----------------------
SSH | 22 | 0.0.0.0/0
Regra de saída:
Type | Port | Destination
--------------------------
HTTP | 80 | 0.0.0.0/0
HTTPS | 443 | 0.0.0.0/0
NACL:
Regra de entrada:
Rule | Type | Port | Source
---------------------------------------
100. | SSH | 22 | 0.0.0.0/0
101. | HTTP | 80 | 0.0.0.0/0
102. | HTTPS | 443 | 0.0.0.0/0
103. | Custom | 32768-65535 | 0.0.0.0/0
Regra de saída:
Rule | Type | Port | Destination
-----------------------------------------
101. | HTTP | 80 | 0.0.0.0/0
102. | HTTPS | 443 | 0.0.0.0/0
103. | Custom | 32768-65535 | 0.0.0.0/0
Não consigo acessar a instância com a configuração do FW acima. Quando modifico as regras de saída e de entrada do NACL e permito que todo o tráfego passe, consigo acessar a instância.
Eu não entendo o que está errado com a minha configuração inicial.
As ACLs de rede são sem estado , portanto você precisará de uma regra de saída
Os grupos de segurança, por outro lado, são stateful , portanto, a conexão de retorno é permitida por padrão
Você poderia tentar adicionar um NACL de saída à porta 22 e ver se isso funciona.
Dependendo de como você tem as coisas configuradas, você pode precisar disso.