amazon-web-services - ACL 配置
问题描述
我希望你一切都好
当我在阅读 AWS ACLs 的文档时,它提到了一个叫做 Epheremral Ports 的东西,我不太理解,如果有人可以为我解释一下,那就太好了,
另一件事,我想允许端口 3000 上的所有流量,同时阻止此流量的响应(学习目的),所以这是我所做的:
在与子网关联的 ACL 中,在入站规则中,我已允许所有端口上的所有流量,但在出站流量上,我已拒绝 HTTP 端口 3000 上的流量,通过此配置,我可以在服务器上获取请求并同时在浏览器上得到响应,所以我没有阻止响应。
这些配置有什么问题?
有没有办法允许流量并拒绝其在特定端口上的响应?
解决方案
出站规则所做的是阻止服务器连接到指定目标端口上的外部资源。因此,该安全组中的服务器将无法连接到 TCP/3000 上的另一台计算机,这与您试图阻止的情况不同。
当您连接到https://stackoverflow.com时,目标端口是 443,但这不是您的计算机为发送请求而打开的端口。它使用临时端口,临时使用较高范围内的端口(AWS 认为 1024-65535 是临时端口的范围)。您可以从终端查看系统决定使用哪些端口,netstat以了解典型会话中使用了多少端口。
因此,要阻止来自您的应用程序的响应,您必须事先知道您正在使用哪个端口来建立连接(例如,44732)并拒绝它。这不容易发生,因此您要么想要阻止整个范围(这可能会导致许多其他问题),要么在测试时重新考虑处理响应的策略。
推荐阅读
- javascript - 是否有使用 vanilla javascript 修复数字计数器错误的方法
- google-sheets - 依赖下拉样式,过滤总和高级年度预算跟踪器
- ios - 在 Swift 中将 CGPoint 数组转换为字符串
- kubernetes - 使用 helm 设置 Kubernetes kerberos 和 kafka 秘密
- google-sheets - 如何在谷歌表格中使用自定义创建的字体
- javascript - 我在从 JS 上的 API 下载 xlsx 文件时遇到问题
- objective-c - 如何在普通 Textfield 自定义类中添加占位符颜色
- node.js - 删除 html 标签 - JSDOM
- javascript - JAVASCRIPT - 在数组展平后从子对象内部的父对象数组中获取值
- javascript - 使用 Jquery 将 YouTube 链接从手表更改为动态嵌入