セキュリティグループとネットワーク ACL がインバウンドトラフィックを許可しているのに、サービスに接続できないのはなぜですか?

最終更新日: 2021 年 3 月 3 日

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで実行されているサービスに接続できません。 セキュリティグループおよびネットワークアクセスコントロールリスト (ネットワーク ACL) の両方で必要なポートへのインバウンドトラフィックを有効にしましたが、まだ機能しません。どうすれば解決できますか?

簡単な説明

セキュリティグループはステートフルであるため、必要なポートへのインバウンドトラフィックを許可すると、接続が有効になります。ネットワーク ACL はステートレスであるため、インバウンドトラフィックとアウトバウンドトラフィックの両方を許可する必要があります。

解決方法

インスタンスで実行されているサービスへの接続を有効にするには、関連するネットワーク ACL で次の両方を許可する必要があります。

  • サービスがリッスンしているポートのインバウンドトラフィック
  • 一時ポートへのアウトバウンドトラフィック

クライアントがサーバーに接続すると、一時ポート範囲 (1024-65535) のうちのランダムなポートがクライアントの送信元ポートになります。

指定された一時ポートは、サービスからのリターントラフィックの送信先ポートになります。一時ポートへのアウトバウンドトラフィックは、ネットワーク ACL で許可する必要があります。ネットワーク ACL ルールの変更の詳細については、「 ルールの追加と削除 」を参照してください。

デフォルトでは、ネットワーク ACL によりすべてのインバウンドおよびアウトバウンドのトラフィックが許可されます。ネットワーク ACL がより制限されている場合は、一時ポート範囲へのトラフィックを明示的に許可する必要があります。

注意: インターネットからのトラフィックを受け入れる場合は、 インターネットゲートウェイを経由するルートも確立する必要があります。VPN または AWS Direct Connect 経由のトラフィックを受け入れる場合は、 仮想プライベートゲートウェイを経由するルートを確立する必要があります。


この記事は役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?