我已经在自定义 vpc 中实例化了一个 ubuntu 实例。
我可以连接到实例。我已经配置了 NACL 和一个安全组。
我发现只有在允许端口 1024-65535 的 NACL 的入站接口(interface)上创建自定义 TCP 规则时,我才能让 apt-get update 工作。
我不认为这是一个非常安全的解决方案。这可能是由于我缺乏对 apt-get 的理解,但似乎响应是在一个临时端口上返回的,但从我在论坛中读到的内容来看,它只需要端口 80?
这是我的入站规则,其中规则 95 是允许它工作的规则:
有任何想法吗?
最佳答案
AWS NACL 是无状态的,因此您需要为您请求的临时端口上的响应允许入站返回流量。
Source: 0.0.0.0/0
Protocol: TCP
Port Rage: 32768-65535
Allow/Deny: ALLOW
如果您的意图确实是使用像 NACL 这样的无状态防火墙来满足高安全性要求或合规性要求。这个 AWS 文档很好地描述了它 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-recommended-nacl-rules.html#nacl-rules-scenario-1
但是,对于一般用例,仅启用安全组就足够了。
关于amazon-web-services - 我如何让 apt-get 在 aws 实例上的 ubuntu 上工作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53808768/