Não consigo me conectar a um serviço executado em uma instância do Amazon Elastic Compute Cloud (Amazon EC2). Eu permiti tráfego de entrada para as portas necessárias no grupo de segurança e na lista de controle de acesso à rede (ACL da rede), mas ele ainda não está funcionando. Como faço para corrigir isso?
Breve descrição
Os grupos de segurança são estatísticos. Portanto, permitir que o tráfego de entrada chegue às portas necessárias ativa a conexão. As ACLs de rede não têm estado. Assim, você deve permitir tanto o tráfego de entrada quanto o de saída.
Resolução
Para ativar a conexão com um serviço em execução em uma instância, a ACL de rede associada deve permitir o seguinte:
- Tráfego de entrada na porta em que o serviço está escutando
- Tráfego de saída para portas efêmeras
Quando um cliente se conecta a um servidor, uma porta aleatória do intervalo de portas efêmeras (1024-65535) se torna a sua porta de origem.
A porta efêmera designada se torna a porta de destino para o tráfego de retorno do serviço. O tráfego de saída para a porta efêmera deve ser permitido na ACL da rede. Para obter mais informações sobre como modificar as regras de ACL da rede, consulte Adicionar e excluir regras.
Por padrão, as ACLs de rede permitem todo o tráfego de entrada e saída. Se sua ACL de rede for mais restritiva, você precisará permitir explicitamente o tráfego para o intervalo de portas efêmeras.
Observação: se você aceitar tráfego da Internet, também deverá estabelecer uma rota por meio de um gateway da Internet. Se você aceitar tráfego via VPN/AWS Direct Connect/Transit Gateway, deverá estabelecer uma rota correspondente por meio de um gateway privado virtual/gateway de trânsito.
Informações relacionadas
Controlar o tráfego para sub-redes usando ACLs de rede
Controlar o tráfego para recursos usando grupos de segurança