AWS 中 NACL 的 FTP 规则

AWS 中 NACL 的 FTP 规则

我需要连接到位于我的 VPC 边界之外的外部 FTP 服务。我向特定 IP 地址和两个 TCP 端口添加了出站规则:20 和 21

我是否也需要为两个相同的端口添加入站规则?

我的疑问在于 TCP 连接:由于 TCP 是面向连接的,所以我猜我需要它。

(目前我还不能进行测试)

答案1

安全组是有状态的,因为您只需添加向外规则。NACL 是无状态的,因此您需要添加向内规则和向外规则。大多数 AWS 用户更喜欢使用安全组而不是 NACL,因为自动返回流量使其更简单。

使用 NACL 临时端口(这里有解释另一个在这里) 需要打开以允许返回流量。阅读链接,FTP 无法按预期工作。这些端口会根据您的操作系统略有不同(维基百科参考) 告诉我们

互联网号码分配机构 (IANA) 建议动态或私有端口的范围为 49152 至 65535(215+214 至 216-1)。3

许多 Linux 内核使用端口范围 32768 至 60999。

最好在 NACL 上允许端口 49152 至 65535 进入,以允许 FTP 正常工作。

相关内容