我想建立主机到主机 libreswan ipsec VPN。我已完成以下操作。
ubuntu-1在第一个帐户的默认 vpc 中创建了 ubuntu 实例。- 为我的 ubuntu 实例分配 EIP 和安全组,允许 TCP 端口 1701、UDP 端口 4500,500 并在任何地方启用所有 ICMP。
ubuntu-2在第二个帐户的公共子网中的非默认 VPC 中创建了 ubuntu 实例。- 为 ubuntu 实例分配 EIP 和安全组,允许 TCP 端口 1701、UDP 端口 4500,500,并在任何地方启用所有 ICMP。
我能够ubuntu-2从 ubuntu-1实例 ping 通,但是无法ubuntu-1从ubuntu-2实例 ping 通。
我不确定我的ubuntu-2实例出了什么问题。它已将 Internet 网关分配给其公共子网。所有安全组规则都镜像到两个服务器。
答案1
实例安全性取决于安全组。在您的场景中,正如您已经提到的那样,您已允许安全组中任何地方的 ICMP 端口。我们可以考虑的另一个安全方面是网络 ACL。网络 ACL 是无状态的。您应该检查 ubuntu-2 实例子网的网络 ACL。ICMP 协议是请求和响应类型的协议,因此 ubuntu-2 子网的网络 ACL 应该允许入站和出站规则。