Amazon 安全组中的端口 53

Amazon 安全组中的端口 53

一切按预期进行。此问题仅用于学习目的。
在 VPC 中使用 Amazon 安全组。出站规则为:
0.0.0.0/0 Port 80
0.0.0.0/0 Port 443

Iptables 允许对目标端口 53 进行 OUTPUT 访问。
-A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

为什么不需要在安全组中为端口 53 设置规则?

答案1

我不确定你是如何测试的,但如果只是通过进行 DNS 查找,那么可能是这样的:

Amazon 安全组和网络 ACL 不会筛选往返于链路本地地址 (169.254.0.0/16) 或 AWS 保留地址(每个子网中的前四个 IP 地址和最后一个 IP 地址)的流量。这些地址支持以下服务:域名服务 (DNS)、动态主机配置协议 (DHCP)、Amazon EC2 实例元数据、密钥管理服务器 (KMS — Windows 实例的许可证管理) 和子网中的路由。您可以在实例中实施其他防火墙解决方案,以阻止与链路本地地址的网络通信。

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html

由此我推断 DNS 无论如何都会继续工作,并且从命令行进行查找应该会成功。如果您使用详细输出执行此操作,您应该会看到 DNS 服务器在您的子网上的本地地址。

相关内容