Sam*_*hih 5 openvpn amazon-web-services
我是 AWS 的新手,我在 EC2 上有一个实例,我想将其限制为仅使用家庭网络中的 IP。与 VPC 关联的子网和安全组之间有什么区别?根据我的理解,IP 地址权限是安全组,但我不太确定子网完成了什么。
另外,网络 ACL 如何发挥作用?
https://i.stack.imgur.com/4KYWT.png
我是否在源中指定允许的 IP 地址?
编辑:VPN 信息
考虑之后,我不想将某些外部 IP 地址列入白名单,而是想让 EC2 实例仅在与 VPN 连接时才能访问。因此,除非使用 VPN,否则即使是我家庭网络上的计算机也无法访问。这是否需要我在 EC2 上设置一个可以访问私有子网的 OpenVPN 服务器?
此外,EC2 实例需要访问互联网,这是否意味着它位于公共子网下?
谢谢!
第一个问题 - 安全
安全组是在实例管理程序上运行的防火墙。网络 ACL 是在网络上运行的防火墙。您可以使用其中之一,或两者都使用。从理论上讲,NACL 会减少主机负载,但它可能可以忽略不计。
安全组是有状态的,因此自动允许返回流量。NACL 要求指定每个方向的防火墙规则,包括临时端口。因此,安全组更易于使用。
对于您的情况,我建议您添加一个安全组规则,允许从您的 /32 IP 访问您需要的每个协议。IP 位于最右边的列中。
第二个问题-VPN
OpenVPN 不会改变任何东西的 IP 地址,它可以被认为是一个网关。您的计算机连接到 EC2 实例,然后具有 EC2 实例拥有的任何访问权限。如果我们知道您想通过 VPN 实现什么目标,我们也许能够提供更好的建议。
鉴于您更新的要求,我可能会在公共子网中使用 EC2 服务器作为 VPN 终结器和 NAT 实例,并在私有子网中使用私有实例 EC2。您的 NACL 和安全组将设置为允许通过 NAT 进行传出互联网访问,但拒绝来自 VPN 实例以外的传入连接。
我不确定单个实例是否可以作为 VPN 终结者和 NAT。我怀疑可以。
小智 0
是的,您可以在“入站规则”选项卡下的源列中添加单个 IP 地址(例如 98.138.253.109/32)或 IP 块(例如 98.138.253.0/24),如屏幕截图所示。
根据您的第二个问题,如果您在 EC2 实例上设置 OpenVPN,您仍然需要添加入站规则,以允许从连接到 EC2 实例的任何位置访问 VPN 端口 (UDP 1194)。
说了这么多,为什么要设置VPN呢?只需添加规则以允许连接尽可能多的网络/IP,但我确信这些网络/IP 是有限的。
| 归档时间: |
|
| 查看次数: |
3530 次 |
| 最近记录: |
