Por que não consigo me conectar a um serviço quando o grupo de segurança e a ACL da rede permitem tráfego de entrada?

Breve descrição

Os grupos de segurança são estatísticos. Portanto, permitir que o tráfego de entrada chegue às portas necessárias ativa a conexão. As ACLs de rede não têm estado. Assim, você deve permitir tanto o tráfego de entrada quanto o de saída.

Resolução

Para ativar a conexão com um serviço em execução em uma instância, a ACL de rede associada deve permitir o seguinte:

• Tráfego de entrada na porta em que o serviço está escutando
• Tráfego de saída para portas efêmeras

Quando um cliente se conecta a um servidor, uma porta aleatória do intervalo de portas efêmeras (1024-65535) se torna a sua porta de origem.

A porta efêmera designada se torna a porta de destino para o tráfego de retorno do serviço. O tráfego de saída para a porta efêmera deve ser permitido na ACL da rede. Para obter mais informações sobre como modificar as regras de ACL da rede, consulte Adicionar e excluir regras.

Por padrão, as ACLs de rede permitem todo o tráfego de entrada e saída. Se sua ACL de rede for mais restritiva, você precisará permitir explicitamente o tráfego para o intervalo de portas efêmeras.

Observação: se você aceitar tráfego da Internet, também deverá estabelecer uma rota por meio de um gateway da Internet. Se você aceitar tráfego via VPN/AWS Direct Connect/Transit Gateway, deverá estabelecer uma rota correspondente por meio de um gateway privado virtual/gateway de trânsito.

Informações relacionadas

Controlar o tráfego para sub-redes usando ACLs de rede

Controlar o tráfego para recursos usando grupos de segurança