我在AWS中创建了一个新的ubuntu实例,我可以成功连接到它.
但是当我尝试使用此命令安装软件包时,它将无法正常工作:
sudo apt-get install apache2
...
...
0% [Connecting to ap-southeast-2.ec2.archive.ubuntu.com (91.189.91.23)]^Cubuntu@ip-10-1-0-99:/etc$
这永远不会前进!
我试过ping google.com.au,也没有回应.
以下是AWS的VPC配置:
Network ACL :
Outbound:
Rule # Type Protocol Port Range Destination Allow / Deny
100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW
* ALL Traffic ALL ALL 0.0.0.0/0 DENY
Inbound :
Rule # Type Protocol Port Range Source Allow / Deny
10 HTTP (80) TCP (6) 80 0.0.0.0/0 ALLOW
120 HTTPS (443) TCP (6) 443 0.0.0.0/0 ALLOW
140 SSH (22) TCP (6) 22 0.0.0.0/0 ALLOW
* ALL Traffic ALL ALL 0.0.0.0/0 DENY
安全组出站设置:
Type Protocol Port Range Destination
ALL Traffic ALL ALL 0.0.0.0/0
路由表设置:
Destination Target Status Propagated
10.1.0.0/24 local Active No
0.0.0.0/0 igw-cfe30caa Active No
这可能有什么问题?
编辑:nslookup&挖掘命令工作正常!
谢谢 !
最佳答案
您的入站网络ACL仅允许发送到入站TCP端口22,80和443的流量.它不允许临时端口上的出站请求的响应.
$cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
您需要网络ACL中的规则允许TCP 32768到61000 ……或者更好的是,根本不使用入站网络ACL – 将其设置回默认值,以允许所有.
除非您有特别复杂的网络配置,否则几乎可以肯定不需要使用网络ACL.安全组中的入站规则通常足以控制对实例的访问.入站安全组规则默认拒绝,与网络ACL(无状态数据包过滤器)不同,安全组是有状态的,TCP会话感知的.
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison
要点:请勿将上面讨论的临时端口规则添加到安全组入站规则中.由于安全组是有状态的,因此您只希望在您希望启动TCP会话的方向上“允许”流量.安全组规则自动允许对已建立的TCP会话的响应,但不允许网络ACL规则,因为它们的实现方式不同.
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html