5

questo è il caso:Impedire regola nel gruppo di protezione EC2 non sta interessando le connessioni MongoDB già stabiliti

  1. grado X è in grado di connettersi a un'istanza Y sulla porta TCP 27017 (consentita dal gruppo di protezione EC2)
  2. X ha mongo shell
  3. Y trovi MongoDB esecuzione, accettando connessione da X sulla porta 27017
  4. dal X, utilizzare mongo shell per la connessione al DB di istanza sul Y
  5. Da questa sessione di shell mongo su X, query da Y e inserire a Y. Tutto ha successo
  6. Cambio gruppo di protezione di Y: rimuovere la regola del porto 27017 di cui al # 1
  7. X può ancora interrogare da/Inserisci per DB ospitato su Y. Questo non è previsto.
  8. Exit sessione di shell mongo su X
  9. Provare fase 4 di nuovo e non è riuscito. Questo è normale e atteso.

L'aspettativa è che il firewall di rete EC2 interrompa le connessioni che violano le regole (le politiche del gruppo di sicurezza).

Potrebbe spiegare come si verifica il punto 7 qui sopra? E come può essere evitato (quindi X non può fare nulla a Y in quel momento)?

Grazie.

risposta

3

aspettativa è che firewall di rete EC2 terminerà connessioni che violano le regole

Stai facendo un presupposto qui. Potrebbe essere la tua aspettativa su come dovrebbe funzionare, ma dove è supportato nella documentazione ufficiale di AWS? Suggerisco di leggere la documentazione invece di fare ipotesi su come funzionerà.

Da the documentation:

Un flusso esistente di traffico che viene tracciato non deve essere interrotto quando si rimuove la regola gruppo di protezione che consente che il flusso. Invece, il flusso viene interrotto quando viene arrestato dall'utente o dall'altro host per almeno alcuni minuti (o fino a 5 giorni per le connessioni TCP stabilite). Per UDP, questo potrebbe richiedere l'interruzione delle azioni sul lato remoto del flusso . Un flusso di traffico non tracciato è immediatamente interrotto se la regola che abilita il flusso viene rimossa o modificata. Ad esempio, se si rimuove una regola che consente tutto il traffico SSH in entrata (0.0.0.0/0) all'istanza, le connessioni SSH esistenti all'istanza vengono immediatamente eliminate.

Se si vuole garantire che il traffico viene immediatamente interrotto quando si rimuovere una regola gruppo di protezione, è possibile utilizzare un'ACL di rete per il sottorete - ACL di rete sono senza stato e quindi non automaticamente permettono il traffico di risposta. Per ulteriori informazioni, consultare ACL di rete nella Guida per l'utente di Amazon VPC .

+0

Grazie, Mark, per modificare i tag e dare il riferimento! Avrei dovuto scavare di più nella documentazione di AWS :) –