我需要连接到位于我的 VPC 边界之外的外部 FTP 服务。我向特定 IP 地址和两个 TCP 端口添加了出站规则:20 和 21
我是否也需要为两个相同的端口添加入站规则?
我的疑问在于 TCP 连接:由于 TCP 是面向连接的,所以我猜我需要它。
(目前我还不能进行测试)
答案1
安全组是有状态的,因为您只需添加向外规则。NACL 是无状态的,因此您需要添加向内规则和向外规则。大多数 AWS 用户更喜欢使用安全组而不是 NACL,因为自动返回流量使其更简单。
使用 NACL 临时端口(这里有解释和另一个在这里) 需要打开以允许返回流量。阅读链接,FTP 无法按预期工作。这些端口会根据您的操作系统略有不同(维基百科参考) 告诉我们
互联网号码分配机构 (IANA) 建议动态或私有端口的范围为 49152 至 65535(215+214 至 216-1)。3
许多 Linux 内核使用端口范围 32768 至 60999。
最好在 NACL 上允许端口 49152 至 65535 进入,以允许 FTP 正常工作。