2015-01-02 12 views
5

Ho creato una nuova istanza di ubuntu in AWS, posso collegarmi a ssh con successo. Tuttavia quando provo ad installare i pacchetti utilizzando questo comando, non funzionerà:L'istanza di ubuntu di AWS non può raggiungere il mondo

sudo apt-get install apache2 
... 
... 
0% [Connecting to ap-southeast-2.ec2.archive.ubuntu.com (91.189.91.23)]^[email protected]:/etc$ 

Questo non si muove in avanti!

Ho provato ping google.com.au, anche nessuna risposta.

Ecco l'config VPC di AWS:

Network ACL : 

Outbound: 
Rule # Type  Protocol Port Range Destination Allow/Deny 
100 ALL Traffic ALL  ALL  0.0.0.0/0 ALLOW 
* ALL Traffic ALL  ALL  0.0.0.0/0 DENY 

Inbound : 
Rule # Type  Protocol Port Range Source Allow/Deny 
10 HTTP (80) TCP (6) 80 0.0.0.0/0 ALLOW 
120 HTTPS (443) TCP (6) 443 0.0.0.0/0 ALLOW 
140 SSH (22) TCP (6) 22 0.0.0.0/0 ALLOW 
* ALL Traffic ALL ALL 0.0.0.0/0 DENY 

le impostazioni di sicurezza in uscita Gruppo: Regolazione della tabella

Type Protocol Port Range Destination 
ALL  Traffic  ALL  ALL  0.0.0.0/0 

Routing:

Destination  Target  Status Propagated 
10.1.0.0/24 local  Active No 
0.0.0.0/0 igw-cfe30caa Active No 

Cosa potrebbe esserci di sbagliato?

MODIFICA: nslookup & dig digita funziona bene!

Grazie!

+1

suono s come il DNS è rotto per te. Prova a utilizzare 'dig google.com.au' per vedere se il DNS può eseguire ricerche sugli indirizzi. – maurice

+0

Lanciate istanza ec2 con la vostra immagine AMI o amazon ami? Sembra che la tua immagine abbia un problema. – BMW

+0

In realtà dig google.com.au funziona perfettamente! funziona anche il comando nslookup. Sto usando l'ami di AWS, ho appena usato il wizard – askanaan

risposta

12

L'ACL della rete in entrata consente solo il traffico indirizzato a in entrata Porte TCP 22, 80 e 443. Non consente le risposte per le richieste in uscita, sulle porte temporanee.

$ cat /proc/sys/net/ipv4/ip_local_port_range 
32768 61000 

Hai bisogno di un regola nella LCA rete per consentire TCP 32768 con 61000 ... o, meglio, non utilizzare l'ACL di rete in ingresso a tutti - riportarlo al valore predefinito, per consentire a tutti .

Quasi certamente non è necessario utilizzare gli ACL di rete se non si dispone di una configurazione di rete particolarmente complessa. Le regole in entrata nel gruppo di sicurezza sono in genere sufficienti per controllare l'accesso a un'istanza. Le regole del gruppo di sicurezza in entrata negano per impostazione predefinita e, a differenza degli ACL di rete, che sono filtri di pacchetti stateless, i gruppi di sicurezza sono in stato di notifica, in base alla sessione TCP.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison

Importante: non mi aggiungere la regola di porta effimera discusso sopra alle regole in entrata gruppo di protezione. Poiché i gruppi di sicurezza hanno lo stato, si desidera solo "consentire" il traffico nella direzione in cui si desidera avviare le sessioni TCP. Le risposte alle sessioni TCP stabilite sono consentite automaticamente dalle regole del gruppo di sicurezza, ma non dalle regole ACL di rete, perché sono implementate in modo diverso.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html

+0

Molte grazie! Ho rimosso l'accesso dal gruppo di sicurezza e ancora posso accedere alle risorse Internet – askanaan

1
* ALL Traffic ALL  ALL  0.0.0.0/0 DENY - Wrong 

* ALL Traffic ALL  ALL  0.0.0.0/0 Allow - Right 

permettono prego in uscita, se si desidera connettersi a server esterni, come google.com o anche voler Update-sudo apt-get update

È possibile consentire l'uscita tramite AWS front-end Gruppi goto di sicurezza -> in uscita

assicurarsi di selezionare il gruppo giusto per il vostro esempio AWS