Perché non riesco a connettermi a un servizio quando il gruppo di sicurezza e l'ACL di rete consentono il traffico in entrata?

Breve descrizione

I gruppi di sicurezza sono dotati di stato, quindi consentire al traffico in entrata di accedere alle porte necessarie attiva la connessione. Le liste di controllo degli accessi di rete (ACL) sono prive di stato, quindi è necessario consentire sia il traffico in entrata che in uscita.

Risoluzione

Per attivare la connessione a un servizio in esecuzione su un'istanza, l'ACL di rete associato deve consentire quanto segue:

• Traffico in entrata sulla porta su cui il servizio è in ascolto
• Traffico in uscita verso porte effimere

Quando un client si connette a un server, una porta casuale dall'intervallo di porte effimere (1024-65535) diventa la porta di origine del client.

La porta effimera designata diventa la porta di destinazione per il traffico di ritorno dal servizio. Il traffico in uscita verso la porta effimera deve essere consentito nell'ACL di rete. Per ulteriori informazioni sulla modifica delle regole ACL di rete, consulta Aggiungere ed eliminare regole.

Per impostazione predefinita, gli ACL di rete consentono tutto il traffico in entrata e in uscita. Se l'ACL di rete è più restrittivo, è necessario consentire esplicitamente al traffico di raggiungere l'intervallo di porte effimero.

Nota: Se accetti traffico da Internet, devi anche stabilire un percorso attraverso un gateway Internet. Se accetti traffico su VPN/AWS Direct Connect/Transit Gateway, devi stabilire un percorso corrispondente attraverso un gateway o gateway di transito privato virtuale.

Informazioni correlate

Come controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete

Controlla il traffico verso le risorse utilizzando i gruppi di sicurezza