我允许 EC2 安全组中的哪些 IP 地址允许客户端 *** 流量通过？

Posted 2023-02-22

【中文标题】我允许 EC2 安全组中的哪些 IP 地址允许客户端 *** 流量通过？

【英文标题】：What IP addresses do I allow in an EC2 Security group to allow Client *** traffic through?

【发布时间】：2020-11-18 07:41:07

【问题描述】：

我有一个 AWS 客户端 *** 设置，以便可以连接到 *** 的人可以访问我们在同一 VPC 上的 EC2 服务器。一些用户报告他们在使用 *** 时无法连接到服务，而其他用户则可以。

我可以在终端中执行ping address_of_ec2_instance 并获得响应，但是连接到同一个 *** 的另一个用户将使用完全相同的命令获得超时，并且解析了相同的 IP。当他们转到https://www.whatismyip.com/ 时，他们报告说连接到相同的 ISP 和位置。

我唯一可以推测的是，我可能没有在 EC2 安全设置中允许正确的端口范围，并且一些用户在端口范围内，但其他用户不在。在给定客户端 *** 端点的情况下，如何确定要转发的端口范围？

【参考方案1】：

当您启动客户端 *** 时，您将提供一个 Client IPv4 CIDR 范围。连接到此时，您将获得此范围内的 IP 地址（连接时将其视为私有 IP 地址）。

对于任何私有 IP 连接，源 IP 将来自此范围（并且当您使用客户端 *** 时，您应该使用私有 IP 而非公共 IP 进行连接，以保持网络传输通过隧道）。

如果您通过公共 IP 地址连接，则需要考虑是希望所有流量还是仅私有流量通过客户端 ***。通过启用split-tunnel，您将使用本地的公共 IP 地址，否则您将使用来自亚马逊服务器池的公共 IP 地址。

附带说明，如果您尝试调试连接失败，可以使用VPC Flow Logs。

【讨论】：

我目前无权访问流日志。当我连接到服务器时，我连接的 IP 与该 CIDR 不匹配。例如，我的客户端 CIDR 是 172.30.4.0/22，但我连接的 IP 是 172.30.20.244（上次登录时间：2020 年 8 月 10 日星期一 18:53:37，来自 ip-172-30-20-244。 ec2.内部）。这个 IP 来自哪里？

啊，我看到 IP 与 *** 关联的子网匹配。

是的确实是:)

我在同一个子网上有 2 个实例，具有相同的防火墙规则。在 *** 上，一个可以连接，另一个不能。我应该把流日志放在哪里？在实例本身上？还是在 *** 子网上？还是在实例的子网上？

放到无法连接的实例ENI上:)