ACL配置

Question

我希望你一切顺利，

当我阅读AWS ACL的文档时，它提到了一种叫做Epheremral端口的东西，我不太理解它，如果有人能为我解释它，那就太好了。

另外，我希望允许端口3000上的所有流量，同时阻止该流量的响应(学习目的)，因此我所做的是：

在与子网关联的ACL中，在入站规则中，我允许所有端口上的所有流量，但在出站流量上，我拒绝了HTTP端口3000上的流量，使用此配置，我可以在服务器上获得请求，同时在浏览器上获得响应，因此我没有阻止响应。

这些配置有什么问题？

有没有办法在特定端口上允许流量并拒绝其响应？

Answer 1

出站规则的作用是防止服务器连接到指定目标端口上的外部资源。因此，该安全组中的服务器将无法连接到TCP/3000上的另一台计算机，这与您试图阻止的情况不同。

当您连接到https://stackoverflow.com时，目标端口是443，但这不是您的计算机用来发送请求的端口。它使用临时端口，临时使用较高范围内的端口(AWS将1024-65535视为临时端口范围)。您可以从终端通过netstat查看您的系统决定使用哪些端口，以了解在一个典型会话中使用了多少端口。

因此，要阻止来自应用程序的响应，您必须事先知道您正在使用哪个端口进行连接(例如，44732)并拒绝它。这不容易发生，所以你要么想阻止整个范围(这可能会导致许多其他问题)，要么在测试时重新考虑处理响应的策略。