AWS:安全组忽略来自弹性 IP 的流量
我有两个AWS实例,< code>i-1和< code>i-2。它们分别位于不同的安全组中:< code>sg-1和< code>sg-2。两款机器都有弹性IP。
< code>sg-2被配置为允许来自< code>sg-1的所有流量,而不考虑端口、源IP或协议。
当i-1试图与i-2i-1的流量实际上来自其弹性IP这一事实。
这是意料之中的吗?除了手动将< code>i-1的弹性IP添加到< code>sg-2之外,我还能做些什么来解决这个问题吗?
共有3个答案
正如slayedbylucifer之前所说,您需要明确允许来自EIP的流量。
以下是 AWS 官方文档中有关安全组的推理:
当您指定一个安全组作为规则的源时,对于指定的协议和端口,允许来自与源安全组相关联的网络接口的通信。基于与源安全组关联的网络接口的专用IP地址(而不是公共IP或弹性IP地址)允许传入流量。
您没有提供足够的信息来诊断问题,但是有一些事情需要检查:
-
< Li > I-1真的在SG-1吗?如果你把实例弄混了,SG规则就会出现错误。 < Li > SG-2中的机器是否运行了防火墙,尽管SG规则允许,但防火墙可能会阻止传入流量? < li >您已使用VPC标签对此进行了标记-您是否有任何可能阻止流量的网络ACL设置?这些机器是使用NAT设备连接到互联网的私有机器,还是通过标准AWS网关路由的公共机器?我能上网吗?如果你通过NAT路由,给一台机器分配一个EIP会有效地切断它与互联网的连接,因为EIP和NAT是互不兼容的,虽然我没有试过,但这也可能会破坏SG路由。 < Li > SG-1是否有任何可能阻止流量离开的出口规则?
如果其中任何一个问题的答案为“是”,那么您的问题的答案可能会在这些问题的解决方案中找到。
sg-2配置为允许来自sg-1的所有流量
执行此操作时,只允许来自专用IP地址的流量。但是,当您使用EIP时,您明确需要允许来自该IP地址的流量。
读这个:https://forums.aws.amazon.com/thread.jspa?messageID=414060
引用上面的链接:
出于好奇,您是否使用公共IP地址进行连接?当您使用以安全组为源的规则时,它仅在通过内部网络连接时才会匹配。但是私有IP地址可能会更改。如果您有与实例关联的弹性IP,则公共DNS名称恰好是静态的,并且在同一EC2区域内使用时将始终解析为当前的私有IP地址。这使您可以轻松地在内部连接,而不必担心任何地址更改。
-
Im使用django通道来实现我的项目中的即时消息应用程序。消息框不占用整个屏幕,所以我尝试使用ajax实现它。Im面临的问题是ajax中的url字段是以http://locahost为前缀的。我不想这样做,因为Im使用ASGI和django通道来实现ws:// 我尝试在url前面加上“/” 我希望url为ws://localhost:8000/messages/ 我现在得到的是 http://l
-
我试图在wildfly上保护一个演示web应用程序。我已经在单机版中定义了这个安全域。xml 然后在web-inf下,我在web.xml中定义了这个安全约束 以及jboss网站上的这些内容。xml 问题是,如果我转到/projects URL,我不会重定向到登录页面,就好像忽略了约束一样。
-
我们有以下安全配置代码, 我们需要在Spring Boot应用程序中限制以下请求(不是所有请求),并且只允许在属性中给定的上进行这些请求。
-
我有一个ec2实例,它正在运行一个网站并关联ALB。 通常作为ec2实例安全组内部的一种做法,alb安全组是被引用的,但在这里,客户端具有这样的配置,即在ec2实例内部,源是安全组本身的名称。 但是,对于允许所有流量和所有端口的入站规则来说,这意味着什么,但是对于source=。 我对使用与源相同的安全组名称感到困惑,这一规则将意味着什么?
-
我正在尝试配置Spring Security注释,我已经设法在xml中设置了Spring Security配置(由intercept-url元素配置),但是现在我想在我的beans中使用安全注释。但是当试图在没有记录的情况下访问安全控制器方法时,安全注释被完全忽略。这是我的控制器bean: 和登录控制器: 和配置:web.xml Spring-套筒.xml 和Spring安全.xml 如果需要,我
-
是否可以使用RTSP看到IP摄像机的直播流? 示例URL:rtsp:/public ip:554/1363e66e.mp4 在Ovi商店上没有视频播放器可以播放流,但我可以在桌面上的VLC上播放流。