cómo bloquear el tráfico saliente en ec2 sin bloquear ssh

Question

Las ACL de red en AWS no tienen estado, por lo que debe administrar el tráfico entrante y saliente. Al bloquear todo el tráfico distinto del 22, ha bloqueado todas las conexiones salientes, a menos que su cliente SSH esté usando el puerto 22 de salida (lo cual es poco probable).

Dehttps://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-basics:

Las NACL no tienen estado, lo que significa que la información sobre el tráfico enviado o recibido anteriormente no se guarda. Si, por ejemplo, crea una regla NACL para permitir tráfico entrante específico a una subred, las respuestas a ese tráfico no se permiten automáticamente. Esto contrasta con la forma en que funcionan los grupos de seguridad. Los grupos de seguridad tienen estado, lo que significa que se guarda información sobre el tráfico enviado o recibido anteriormente. Si, por ejemplo, un grupo de seguridad permite el tráfico entrante a una instancia EC2, las respuestas se permiten automáticamente independientemente de las reglas del grupo de seguridad saliente.

En su lugar, debería mirar los grupos de seguridad, que tienen estado y, por lo tanto, permitirán el tramo de respuesta saliente de una conexión entrante. Puede usar esto para bloquear todos los entrantes menos 22 y todos los salientes (cuando se inicia desde EC2).

Además: si solo necesita SSH en este EC2 y ningún otro tráfico entrante, deberíaen realidadMire el Administrador de sesiones (parte del Administrador de sistemas). Esto utiliza un agente en EC2 para proporcionar acceso al shell sin exponer el tráfico a Internet, solo servicios de AWS a través de NAT. ¡Así que no se requieren puertos de entrada!https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html

Answer 1

Las ACL de red en AWS no tienen estado, por lo que debe administrar el tráfico entrante y saliente. Al bloquear todo el tráfico distinto del 22, ha bloqueado todas las conexiones salientes, a menos que su cliente SSH esté usando el puerto 22 de salida (lo cual es poco probable).

Dehttps://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-basics:

Las NACL no tienen estado, lo que significa que la información sobre el tráfico enviado o recibido anteriormente no se guarda. Si, por ejemplo, crea una regla NACL para permitir tráfico entrante específico a una subred, las respuestas a ese tráfico no se permiten automáticamente. Esto contrasta con la forma en que funcionan los grupos de seguridad. Los grupos de seguridad tienen estado, lo que significa que se guarda información sobre el tráfico enviado o recibido anteriormente. Si, por ejemplo, un grupo de seguridad permite el tráfico entrante a una instancia EC2, las respuestas se permiten automáticamente independientemente de las reglas del grupo de seguridad saliente.

En su lugar, debería mirar los grupos de seguridad, que tienen estado y, por lo tanto, permitirán el tramo de respuesta saliente de una conexión entrante. Puede usar esto para bloquear todos los entrantes menos 22 y todos los salientes (cuando se inicia desde EC2).

Además: si solo necesita SSH en este EC2 y ningún otro tráfico entrante, deberíaen realidadMire el Administrador de sesiones (parte del Administrador de sistemas). Esto utiliza un agente en EC2 para proporcionar acceso al shell sin exponer el tráfico a Internet, solo servicios de AWS a través de NAT. ¡Así que no se requieren puertos de entrada!https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html

cómo bloquear el tráfico saliente en ec2 sin bloquear ssh

Respuesta1

información relacionada