小编Aug*_*sto的帖子

我已经盯着屏幕看了大约两个小时，试图找出为什么这不起作用。我正在构建具有私有和公有子网的典型 VPC，并尝试尽可能地锁定它。我有几个安全组，但我知道问题出在 NACL 中，就好像我放宽了规则，一切正常。

我的入站 NACL 是

出站是

我遇到的问题是，我无法从公共子网或私有子网中的任何 EC2 实例内部访问互联网（端口 80 和 443）。我知道“问题规则”是入站 no 1000，它允许来自 的所有临时端口10.0.0.0/16。如果我更改此规则以应用于所有源 ( 0.0.0.0/0)，我可以从两个子网中的所有 ec2 实例访问互联网（我通过运行不同的应用程序来测试这一点；主要是curl 和 yum。

我只是很难理解这种行为，因为入站规则应该允许任何 ec2 实例打开临时端口并与路由器通信，然后路由器可以与任何主机的端口 80 和 443 通信。我感觉我错过了简单但关键的一点:)。

编辑

在ascii art中，这是我对规则的理解

EC2 instance does a curl on www.google.com (port 80) 

SYN Packet out to stablish the connection (ephemeral port on VM to port 80)
EC2 vm (somewhere in 10.0.0.0/16:ephemeral)
 -> SG 
 -> NACL in (in rule 1000 - ALLOW source 10.0.0.0/16 on ports 1024-65535) 
 -> …