ACLs de rede da AWS que violam a conectividade SSH

Navegue suas respostas
1

Estou tentando configurar ACLs de rede como uma segunda camada de segurança para instâncias de produção. Parece que toda vez que associo uma ACL de rede não padrão à minha sub-rede privada, ela quebra toda a conectividade SSH. Não tenho certeza do que estou fazendo de errado.

A rede ACL que estou tentando implementar é assim:

Observe que existem 3 regras SSH:

  • O primeiro é para conexão de instâncias de VPC locais
  • O segundo é para conexão de um Peering VPC
  • O terceiro é para conexão do escritório da minha empresa (percebo que não posso me conectar a instâncias privadas por SSH sem um Customer Gateway ... isso está lá para instâncias públicas que usam a mesma ACL de rede)

Um experimento simples para reproduzir os resultados é o seguinte:

  1. Verifique se todas as sub-redes de instância estão usando a ACL de rede padrão (0.0.0.0/0 ALLOW)
  2. Conecte-se via SSH a uma instância de peering no VPC de peering (192.168.0.x)
  3. SSH na instância privada via IP privado (sucesso)
  4. Desconectar da instância privada
  5. Alterar a ACL da rede de sub-rede privada para a acima
  6. Reconecte-se à instância privada (falha)

Posso repetir as etapas acima usando uma instância pública na mesma VPC (10.0.0.x) via SSH do escritório, e o mesmo problema ocorre.

Não tenho absolutamente nenhuma ideia do que está errado. Por favor, informe.

    
por jmkmay 08.02.2018 / 19:03

1 resposta

0

A parte que estava faltando tem a ver com as Regras de saída. Minhas regras de saída foram definidas como PORT 22 192.168.0.0/0 ALLOW . Como as ACLs de rede são sem estado, todas as portas efêmeras podem interromper a função.

Eu abri todas as regras de saída e o SSH está funcionando.

    
por 08.02.2018 / 20:14

Tags

Azure. Adicionando um certificado da CA do GoDaddy a um site hospedado pelo Azure Como o balanceamento de carga / VIP funciona com redes de sobreposição?