源端口和目标端口是不同的，所以我需要在入站aws安全组中提到哪个端口号？

Question

在aws入站/出站安全组的端口范围选项中，我们需要提到源端口或否则的destinationip端口。

Q1:例如，PROD试图连接网关，在本例中，在网关入站安全组中，我需要提到端口范围列中的PROD端口或其他网关端口。作为回报，网关正在尝试连接PROD，那么在GATEWAY出站安全组中，我需要提到端口范围内的PROD端口或其他网关端口。

Answer 1

定义规则时，使用与目标关联的端口号。例如：

• Laptop连接到EC2-Instance
• Security Group on EC2-Instance允许在端口80

上的入站连接

在Laptop上使用哪个端口作为“源”端口并不重要。安全组只查看目标端口。

另一个例子是：

• EC2-Instance连接到Internet
• Security Group EC2-Instance上的www.example.com允许在端口80

上出站连接

在EC2-Instance上使用哪个端口作为“源”端口并不重要。

安全组在AWS虚拟私有云(VPC)中是stateful。这意味着如果流量允许'in'，那么它也被允许'out‘。因此，不需要仅仅为了响应传入的连接就定义出站规则。响应将自动允许，纯粹是因为入站规则接受传入通信量。