¿Por qué no puedo conectarme a un servicio cuando el grupo de seguridad y la ACL de red permiten el tráfico entrante?

Breve descripción

Los grupos de seguridad tienen estado, por lo que la conexión se activa al permitir el tráfico entrante a los puertos necesarios. Las ACL de la red no tienen estado, por lo que debe permitir tanto el tráfico entrante como el saliente.

Resolución

Para activar la conexión a un servicio que se ejecuta en una instancia, la ACL de la red asociada debe permitir lo siguiente:

• Tráfico entrante en el puerto que escucha el servicio
• Tráfico saliente a puertos efímeros

Cuando un cliente se conecta a un servidor, un puerto aleatorio del rango de puertos efímeros (1024-65535) se convierte en el puerto de origen del cliente.

El puerto efímero designado se convierte en el puerto de destino para el tráfico de retorno del servicio. El tráfico saliente al puerto efímero debe estar permitido en la ACL de la red. Para obtener más información sobre la modificación de las reglas de ACL de la red, consulte Agregar y eliminar reglas.

De forma predeterminada, las ACL de la red permiten todo el tráfico entrante y saliente. Si la ACL de su red es más restrictiva, debe permitir explícitamente el tráfico al rango de puertos efímeros.

Nota: Si acepta tráfico de Internet, también debe establecer una ruta a través de una puerta de enlace de Internet. Si acepta tráfico a través de una VPN, de AWS Direct Connect o de una puerta de enlace de tránsito, debe establecer la ruta correspondiente a través de una puerta de enlace privada virtual o una puerta de enlace de tránsito.

Información relacionada

Controlar el tráfico hacia las subredes mediante las ACL de red

Controlar el tráfico hacia los recursos mediante grupos de seguridad