为什么EC2实例在删除入站安全组规则之后继续响应ping请求？

Question

在使用AWS控制台时，我尝试了以下方法

1. 使用默认安全组在默认VPC中启动EC2实例(启用公共IP )，并启动默认子网。
2. EC2使用公共IP在默认子网中启动。
3. 使用公共IP从命令提示符中单击EC2实例。
4. 请求超时了。
5. 注意到默认安全组入站规则只允许来自安全组中的源的通信。
6. 修改了安全组入站规则并允许来自任何地方的通信量(0.0.0.0/0)
7. 再次使用公共IP单击EC2实例。
8. 得到了服务器的回复。到现在为止一切都很好。
9. 来自EC2主机的ping回复继续显示在控制台中。
10. 我删除了入站安全组规则。现在没有针对安全组的入站规则。
11. 在终端上，来自EC2实例的答复继续显示。

我的问题是--即使安全组的入站规则已被删除，为什么我仍看到主机(EC2实例)的答复？

对入站安全组规则的更改不是立即适用吗？为什么主机(EC2实例)在没有入站安全组规则的情况下继续响应？

Answer 1

更改立即适用，但安全组规则控制新通信流的建立(根据使用端口号的协议的源和目的地地址、协议和端口号标识)。

根据所讨论的具体规则，网络可能主动跟踪流，也可能不主动跟踪流，但ICMP流始终被跟踪。一旦建立了跟踪流，该流就不再需要匹配规则，因为网络已经为流创建了一个状态表条目，该表项将持续到网络删除它为止，这要么是由于不活动超时，要么是由于TCP等面向连接的协议的关闭/重置。

跟踪流不会因删除允许创建它们的规则而中断。

停止ping并重新启动它。如果它继续工作，停止它，等待几秒钟，然后重新启动它。您应该会发现，在移除规则后不久，重新尝试对目标实例进行ping会导致超时。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-connection-tracking