EC2 Instanz Filter Ports trotz der gleichen Sicherheitsgruppe

Ich habe ein ähnliches Problem zu einem früheren Thread ec2-vpc-instance-ports-are-filtered, wo ich einigermaßen zuversichtlich bin ich habe die Sicherheitsgruppe richtig eingerichtet und haben Dienste auf den Ports zu hören, aber ich sehe immer noch gefiltert Ports beim Ausführen von nmap.EC2 Instanz Filter Ports trotz der gleichen Sicherheitsgruppe

Ich habe zwei EC2-Instanzen. Einer ist AWS, der gut funktioniert und der andere ist Redhat, was nicht ist. Ich habe die folgende Sicherheitsrichtlinie auf beide Instanzen angewendet. Die redhat Instanz erlaubt nur ping und ssh, das AWS erlaubt alle Regeln.

Type Protocol Port Range Source 

HTTP TCP 80 212.250.191.71/32 
HTTP TCP 80 85.91.28.28/32 
SSH TCP 22 212.250.191.71/32 
SSH TCP 22 5.80.62.149/32 
SSH TCP 22 85.91.28.28/32 
Custom TCP Rule TCP 8080 - 8089 212.250.191.71/32 
Custom TCP Rule TCP 2001 212.250.191.71/32 
HTTPS TCP 443 212.250.191.71/32 
HTTPS TCP 443 85.91.28.28/32 
Custom ICMP Rule - IPv4 Echo Request N/A 212.250.191.71/32

nmap -sTU -O zeigt

AWS version 
Host is up (0.023s latency). 
Not shown: 1000 open|filtered ports, 997 filtered ports 
PORT  STATE SERVICE 
22/tcp open ssh 
2001/tcp open dc 
8080/tcp open http-proxy 

Redhat 
Host is up (0.024s latency). 
Not shown: 1000 open|filtered ports, 999 filtered ports 
PORT STATE SERVICE 
22/tcp open ssh

netstat -plunta | grep LISTEN

AWS version 

tcp  0  0 0.0.0.0:3020    0.0.0.0:*     LISTEN  4869/q 
tcp  0  0 0.0.0.0:40781    0.0.0.0:*     LISTEN  4618/q 
tcp  0  0 0.0.0.0:3022    0.0.0.0:*     LISTEN  4875/q 
tcp  0  0 0.0.0.0:111     0.0.0.0:*     LISTEN  3152/rpcbind 
tcp  0  0 0.0.0.0:8080    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3024    0.0.0.0:*     LISTEN  4938/q 
tcp  0  0 127.0.0.1:18001    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:2001    0.0.0.0:*     LISTEN  4611/q 
tcp  0  0 0.0.0.0:3026    0.0.0.0:*     LISTEN  4736/q 
tcp  0  0 0.0.0.0:2002    0.0.0.0:*     LISTEN  4621/q 
tcp  0  0 0.0.0.0:3028    0.0.0.0:*     LISTEN  4812/q 
tcp  0  0 0.0.0.0:3030    0.0.0.0:*     LISTEN  4859/q 
tcp  0  0 0.0.0.0:22     0.0.0.0:*     LISTEN  3355/sshd 
tcp  0  0 0.0.0.0:3065    0.0.0.0:*     LISTEN  4738/q 
tcp  0  0 127.0.0.1:25    0.0.0.0:*     LISTEN  3706/sendmail 
tcp  0  0 127.0.0.1:6010    0.0.0.0:*     LISTEN  21880/sshd 
tcp  0  0 0.0.0.0:3034    0.0.0.0:*     LISTEN  4705/q 
tcp  0  0 0.0.0.0:3067    0.0.0.0:*     LISTEN  4805/q 
tcp  0  0 0.0.0.0:3004    0.0.0.0:*     LISTEN  5013/q 
tcp  0  0 0.0.0.0:3036    0.0.0.0:*     LISTEN  4932/q 
tcp  0  0 0.0.0.0:45053    0.0.0.0:*     LISTEN  3173/rpc.statd 
tcp  0  0 0.0.0.0:3006    0.0.0.0:*     LISTEN  4979/q 
tcp  0  0 0.0.0.0:3038    0.0.0.0:*     LISTEN  4871/q 
tcp  0  0 127.0.0.1:45375    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3040    0.0.0.0:*     LISTEN  4742/q 
tcp  0  0 0.0.0.0:3042    0.0.0.0:*     LISTEN  4851/q 
tcp  0  0 127.0.0.1:8005    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3013    0.0.0.0:*     LISTEN  4934/q 
tcp  0  0 0.0.0.0:1254    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3046    0.0.0.0:*     LISTEN  4857/q 
tcp  0  0 0.0.0.0:3016    0.0.0.0:*     LISTEN  4968/q 
tcp  0  0 0.0.0.0:3048    0.0.0.0:*     LISTEN  4744/q 
tcp  0  0 127.0.0.1:17001    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:8009    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3050    0.0.0.0:*     LISTEN  4867/q 
tcp  0  0 0.0.0.0:3018    0.0.0.0:*     LISTEN  4796/q 
tcp  0  0 172.31.37.100:17003   0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 127.0.0.1:43339    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 :::53805     :::*      LISTEN  3173/rpc.statd 
tcp  0  0 :::111      :::*      LISTEN  3152/rpcbind 
tcp  0  0 :::22      :::*      LISTEN  3355/sshd 
tcp  0  0 ::1:6010     :::*      LISTEN  21880/sshd 
tcp  0  0 :::3002      :::*      LISTEN  4754/java 
tcp  0  0 ::ffff:172.31.37.100:12169 :::*      LISTEN  4640/java 
tcp  0  0 :::3306      :::*      LISTEN  3658/mysqld 

Redhat version 

tcp  0  0 0.0.0.0:8011   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 172.31.31.147:17004  0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:3053   0.0.0.0:*    LISTEN  17851/q 
tcp  0  0 0.0.0.0:3086   0.0.0.0:*    LISTEN  17899/q 
tcp  0  0 0.0.0.0:3023   0.0.0.0:*    LISTEN  18130/q 
tcp  0  0 0.0.0.0:3055   0.0.0.0:*    LISTEN  18074/q 
tcp  0  0 0.0.0.0:111    0.0.0.0:*    LISTEN  1/systemd 
tcp  0  0 0.0.0.0:3088   0.0.0.0:*    LISTEN  17973/q 
tcp  0  0 0.0.0.0:3057   0.0.0.0:*    LISTEN  18091/q 
tcp  0  0 127.0.0.1:40306   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:8082   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 127.0.0.1:18003   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:3027   0.0.0.0:*    LISTEN  17960/q 
tcp  0  0 0.0.0.0:3059   0.0.0.0:*    LISTEN  17903/q 
tcp  0  0 0.0.0.0:2003   0.0.0.0:*    LISTEN  17754/q 
tcp  0  0 0.0.0.0:2004   0.0.0.0:*    LISTEN  17762/q 
tcp  0  0 0.0.0.0:3061   0.0.0.0:*    LISTEN  18010/q 
tcp  0  0 127.0.0.1:37398   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:22    0.0.0.0:*    LISTEN  1076/sshd 
tcp  0  0 0.0.0.0:3031   0.0.0.0:*    LISTEN  18089/q 
tcp  0  0 0.0.0.0:3033   0.0.0.0:*    LISTEN  18020/q 
tcp  0  0 127.0.0.1:25   0.0.0.0:*    LISTEN  1042/master 
tcp  0  0 0.0.0.0:3066   0.0.0.0:*    LISTEN  18013/q 
tcp  0  0 127.0.0.1:6010   0.0.0.0:*    LISTEN  15960/sshd: ec2-use 
tcp  0  0 127.0.0.1:6011   0.0.0.0:*    LISTEN  15992/sshd: [email protected] 
tcp  0  0 0.0.0.0:3005   0.0.0.0:*    LISTEN  18170/q 
tcp  0  0 0.0.0.0:3037   0.0.0.0:*    LISTEN  18095/q 
tcp  0  0 0.0.0.0:3069   0.0.0.0:*    LISTEN  17905/q 
tcp  0  0 0.0.0.0:3071   0.0.0.0:*    LISTEN  18087/q 
tcp  0  0 0.0.0.0:3008   0.0.0.0:*    LISTEN  18135/q 
tcp  0  0 0.0.0.0:3041   0.0.0.0:*    LISTEN  17897/q 
tcp  0  0 0.0.0.0:40802   0.0.0.0:*    LISTEN  17746/q 
tcp  0  0 0.0.0.0:3044   0.0.0.0:*    LISTEN  17980/q 
tcp  0  0 127.0.0.1:8007   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:1255   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:3047   0.0.0.0:*    LISTEN  18015/q 
tcp  0  0 0.0.0.0:3017   0.0.0.0:*    LISTEN  18076/q 
tcp  0  0 127.0.0.1:17002   0.0.0.0:*    LISTEN  18151/java 
tcp6  0  0 :::111     :::*     LISTEN  1/systemd 
tcp6  0  0 :::22     :::*     LISTEN  1076/sshd 
tcp6  0  0 ::1:25     :::*     LISTEN  1042/master 
tcp6  0  0 :::3002     :::*     LISTEN  17918/java 
tcp6  0  0 ::1:6010    :::*     LISTEN  15960/sshd: ec2-use 
tcp6  0  0 ::1:6011    :::*     LISTEN  15992/sshd: [email protected] 
tcp6  0  0 172.31.31.147:12170  :::*     LISTEN  17786/java

Mein erster Gedanke war, dass vielleicht habe ich iptables auf Redhat läuft, aber nicht aber AWS laufen

service iptables stop 
service ip6tables stop

nicht geholfen hat. Seltsam für mich, dass dieselbe Sicherheitsgruppe an einer Instanz arbeitet, aber nicht an der anderen.

Meine Networking-Erfahrung ist ziemlich begrenzt, so dass alle Ideen dankbar geschätzt.

Danke für Ihre Hilfe!

Quelle

2017-08-30 ciaran

Einfachen Test zu spülen: alle/all/alle in der Sicherheitsgruppe ermöglichen. Wenn das Problem behoben wird, sind die Sicherheitsgruppeneinstellungen nicht korrekt. –

Ich würde SELinux überprüfen, um sicherzustellen, dass es richtig konfiguriert ist. Wenn überhaupt, versuchen Sie es zu ändern, um es nicht zu erzwingen.

https://wiki.centos.org/HowTos/SELinux

https://www.centos.org/docs/5/html/5.2/Deployment_Guide/sec-sel-enable-disable-enforcement.html

Quelle

2017-08-30 12:02:22 BryceH

Danke für das Bryce, schätze es. Ich fand, dass Selinux lief und erzwang, und versuchte es im permissiven Modus, der nicht funktionierte. Also habe ich jetzt die/etc/selinux/config bearbeitet und auf disabled gesetzt. Es wurde sogar versucht, das System neu zu starten, die relevanten Prozesse erneut zu starten und immer noch ähnliche Ergebnisse zu erhalten. # getsebool -a getsebool: SELinux ist deaktiviert – ciaran

Fest - notwendig, um die im Cache gespeicherten Regeln von iptables mit

iptables -F

Quelle

2017-08-30 15:57:48 ciaran

EC2 Instanz Filter Ports trotz der gleichen Sicherheitsgruppe

Antwort

Verwandte Themen