1. Zuhause
  2. Frage und Antwort
  3. AWS Ubuntu-Instanz kann die Welt nicht erreichen

AWS Ubuntu-Instanz kann die Welt nicht erreichen

2015-01-02 10 views
5

Ich habe eine neue Ubuntu-Instanz in AWS erstellt, ich kann SSH erfolgreich verbinden. aber wenn ich versuche, diesen Befehl Installieren von Paketen verwendet wird, wird es nicht funktionieren:AWS Ubuntu-Instanz kann die Welt nicht erreichen

sudo apt-get install apache2 
... 
... 
0% [Connecting to ap-southeast-2.ec2.archive.ubuntu.com (91.189.91.23)]^[email protected]:/etc$

Dieser nie vorwärts bewegt!

Ich versuchte ping google.com.au, auch keine Antwort.

Hier ist die VPC Config von AWS:

Network ACL : 

Outbound: 
Rule # Type  Protocol Port Range Destination Allow/Deny 
100 ALL Traffic ALL  ALL  0.0.0.0/0 ALLOW 
* ALL Traffic ALL  ALL  0.0.0.0/0 DENY 

Inbound : 
Rule # Type  Protocol Port Range Source Allow/Deny 
10 HTTP (80) TCP (6) 80 0.0.0.0/0 ALLOW 
120 HTTPS (443) TCP (6) 443 0.0.0.0/0 ALLOW 
140 SSH (22) TCP (6) 22 0.0.0.0/0 ALLOW 
* ALL Traffic ALL ALL 0.0.0.0/0 DENY

Sicherheitsgruppe Outbound-Einstellungen:

Type Protocol Port Range Destination 
ALL  Traffic  ALL  ALL  0.0.0.0/0

Routing-Tabelleneinstellung:

Destination  Target  Status Propagated 
10.1.0.0/24 local  Active No 
0.0.0.0/0 igw-cfe30caa Active No

Was hier falsch sein könnte?

EDIT: nslookup & Dig Befehl funktioniert gut!

Danke!

Quelle

2015-01-02 askanaan

+1

Ton wählen s wie DNS ist für Sie kaputt. Versuchen Sie es mit "dig google.com.au", um zu sehen, ob DNS Adresssuche durchführen kann. – maurice

+0

Starten Sie die ec2-Instanz mit Ihrem eigenen AMI-Image oder Amazon ami? Scheint, dass dein Bild ein Problem hat. – BMW

+0

Eigentlich graben google.com.au gut! Auch der Befehl nslookup funktioniert. Ich benutze AWS ami, benutze einfach den Assistenten – askanaan

Antwort

12

Ihre eingehende Netzwerk-ACL erlaubt nur Datenverkehr an eingehende TCP-Ports 22, 80 und 443. Es ermöglicht nicht die Antworten für Ihre ausgehenden Anfragen, auf Ihre ephemeren Ports.

$ cat /proc/sys/net/ipv4/ip_local_port_range 
32768 61000

Sie benötigen eine Regel im Netzwerk ACL TCP zu ermöglichen 32768 durch 61000 ... oder, besser, verwenden Sie nicht das eingehende Netzwerk ACL überhaupt - setzen Sie sich wieder auf den Standard, alle zu ermöglichen, .

Sie müssen fast sicher keine Netzwerk-ACLs verwenden, es sei denn, Sie verfügen über eine besonders komplexe Netzwerkkonfiguration. Die eingehenden Regeln in der Sicherheitsgruppe reichen normalerweise aus, um den Zugriff auf eine Instanz zu steuern. Sicherheitsregeln für eingehende Sicherheitsgruppen werden standardmäßig abgelehnt, und im Gegensatz zu Netzwerk-ACLs, bei denen es sich um zustandslose Paketfilter handelt, sind Sicherheitsgruppen statusbehaftet und TCP-session-aware.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison

Wichtig: nicht die ephemeren Port Regel oben auf die Sicherheitsgruppe eingehenden Regeln diskutiert hinzuzufügen. Da Sicherheitsgruppen zustandsbehaftet sind, möchten Sie den Datenverkehr nur in der Richtung zulassen, in der TCP-Sitzungen initiiert werden sollen. Antworten auf festgelegte TCP-Sitzungen werden automatisch von Sicherheitsgruppenregeln zugelassen, nicht jedoch von Netzwerk-ACL-Regeln, da sie anders implementiert sind.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html

Quelle

2015-01-02 18:33:21

+0

Vielen Dank! Ich habe den Zugriff von der Sicherheitsgruppe entfernt und trotzdem kann ich auf die Internetressourcen zugreifen – askanaan

1 
* ALL Traffic ALL  ALL  0.0.0.0/0 DENY - Wrong 

* ALL Traffic ALL  ALL  0.0.0.0/0 Allow - Right

Gestatten Outbound, wenn Sie wie google.com auf externe Server verbinden möchten oder sogar sudo Update- wollen apt-get

Sie aktualisieren können die Outbound ermöglichen mit AWS Front-End-Gruppen goto Sicherheit -> Outbound

Stellen Sie sicher, die richtige Gruppe für Ihre AWS-Instanz

Quelle

2016-02-25 06:54:51

Verwandte Themen

 Verwandte Themen