我正在 Amazon AWS 中实现 REST 服务。内部 servlet 监听多个端口,如 8080 和 9000,Apache 配置为反向代理通过端口 443 上的 https 为他们提供适当的 URL 模式。
Apache 服务器负责处理用户身份验证和 SSL 安全,而内部端口则负责处理所有无需身份验证的请求。
当然,我想阻止这些内部 servlet 从外部获取流量。我安装了网络 ACL,并使用宽松版本的亚马逊指南:端口 80、443、22 和 49152-65535 的入站流量为返回流量,所有端口都允许出站流量。
此配置会阻止传出流量:例如,Jenkins 服务器无法在端口 22 上使用 pip 获取包或从 github 克隆 repos。启用端口 1024-65535 以接收入站流量后,问题得以解决,但该设置会暴露内部 servlet。
为什么我的出站呼叫被阻止?可以使用单个 VPC 解决此问题吗?
答案1
Amazon 防火墙不支持 TCP 状态?这对我来说是新的、令人不安的信息……
由于无法明确访问 TCP 状态..我会说在 Amazon ACL 上打开端口 1024-65535,并使用本地(系统/iptables/windows 防火墙)防火墙来限制特定的内部端口...
或者只需在亚马逊防火墙上启用端口 10,000 以上的所有内容......
如果这些是亚马逊防火墙提供的唯一选项......我肯定会添加系统级防火墙以确保一切都严密。