Warum kann ich keine Verbindung zu einem Service herstellen, wenn die Sicherheitsgruppe und die Netzwerk-ACL eingehenden Datenverkehr zulassen?

Kurzbeschreibung

Sicherheitsgruppen sind zustandsbehaftet, sodass die Verbindung aktiviert wird, wenn eingehender Datenverkehr zu den erforderlichen Ports zugelassen wird. Netzwerk-ACLs sind zustandslos, sodass Sie sowohl eingehenden als auch ausgehenden Datenverkehr zulassen müssen.

Behebung

Um die Verbindung zu einem Service zu aktivieren, der auf einer Instance ausgeführt wird, muss die zugehörige Netzwerk-ACL Folgendes zulassen:

• Eingehenden Datenverkehr auf dem Port, auf dem der Service empfängt
• Ausgehenden Datenverkehr zu flüchtigen Ports

Wenn ein Client eine Verbindung zu einem Server herstellt, wird ein zufälliger Port aus dem flüchtigen Portbereich (1024-65535) zum Quellport des Clients.

Der angegebene flüchtige Port wird zum Zielport für den Rückverkehr vom Service. Ausgehender Datenverkehr zum flüchtigen Port muss in der Netzwerk-ACL zugelassen werden. Weitere Informationen zum Ändern von Netzwerk-ACL-Regeln finden Sie unter Hinzufügen und Löschen von Regeln.

Standardmäßig lassen Netzwerk-ACLs sämtlichen eingehenden und ausgehenden Datenverkehr zu. Wenn Ihre Netzwerk-ACL restriktiver ist, müssen Sie den Datenverkehr zum flüchtigen Portbereich explizit zulassen.

Hinweis: Wenn Sie Datenverkehr aus dem Internet akzeptieren, müssen Sie auch eine Route über ein Internet-Gateway einrichten. Wenn Sie Datenverkehr über VPN/AWS Direct Connect/Transit Gateway akzeptieren, müssen Sie eine entsprechende Route über ein virtuelles privates Gateway/Transit-Gateway einrichten.

Weitere Informationen

Datenverkehr in Subnetzen mit Netzwerk-ACLs steuern

Datenverkehr zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen steuern