3:45 да там наверное важен порядок правил в outbound rules. Попробовать поставить запрет на определенный хост перед "разрешить всё". Не проверяли? ps. вообще никогда не пользовался aws :) Странно вообще. Зачем нужны такие похожие сущности (секюрити группу и acl). Ну кроме того, что они якобы различаются по работе firewall. 5:30 вы что-то странное говорите про работу statefull firewall. Если у вас входящее соединение с вебсервера на вашу виртуалку в амазоне (зашли по ssh), это совсем не значит, что не сработает запрет на исходящие соединения с виртуалки на ваш вебсервер (по 80 порту). Там же записывается в коннекшен трекинге ip1:порт1 ip2:порт2, а не ip:1ip2.
Не совсем - ключевой ответ в том, что Security Group - это Stateful firewall а ACL - это Stateless firewall... Знаете в чем их принципиальное отличие? )
@@OleksiyPototskyy Я то знаю. Но у меня ощущение что вы нет :) Хотя может оно так невнятно именно на амазоне работает и приходится просто использовать NACL, потому что в секьюрити группах так тупо сделано, что порядок правил установить нельзя и не сбрасывают табличку коннекшн-трекинга при изменении правил firewall (и поэтому у вас как работал телнет на первом тесте, так и на втором работает). Но по идее правило все равно потом протухнет через некоторое время и само исчезнет из /proc/net/nf_conntrack и тогда запрет начнет нормально работать. Наверняка они там своего ничего не изобретали и все на iptables внутри сделано. В общем выглядит это как плохая реализация на амазоне. И stateful/stateless тут не причем.
Хорошее начало. Продолжайте в том же направлении, делая точечные разборы.
sg Supports allow rules only.
3:45 да там наверное важен порядок правил в outbound rules. Попробовать поставить запрет на определенный хост перед "разрешить всё". Не проверяли? ps. вообще никогда не пользовался aws :)
Странно вообще. Зачем нужны такие похожие сущности (секюрити группу и acl). Ну кроме того, что они якобы различаются по работе firewall.
5:30 вы что-то странное говорите про работу statefull firewall. Если у вас входящее соединение с вебсервера на вашу виртуалку в амазоне (зашли по ssh), это совсем не значит, что не сработает запрет на исходящие соединения с виртуалки на ваш вебсервер (по 80 порту). Там же записывается в коннекшен трекинге ip1:порт1 ip2:порт2, а не ip:1ip2.
Не совсем - ключевой ответ в том, что Security Group - это Stateful firewall а ACL - это Stateless firewall... Знаете в чем их принципиальное отличие? )
@@OleksiyPototskyy Я то знаю. Но у меня ощущение что вы нет :) Хотя может оно так невнятно именно на амазоне работает и приходится просто использовать NACL, потому что в секьюрити группах так тупо сделано, что порядок правил установить нельзя и не сбрасывают табличку коннекшн-трекинга при изменении правил firewall (и поэтому у вас как работал телнет на первом тесте, так и на втором работает). Но по идее правило все равно потом протухнет через некоторое время и само исчезнет из /proc/net/nf_conntrack и тогда запрет начнет нормально работать. Наверняка они там своего ничего не изобретали и все на iptables внутри сделано.
В общем выглядит это как плохая реализация на амазоне. И stateful/stateless тут не причем.