#amazon-web-services #udp #acl #amazon-route53
#amazon-web-services #udp #acl #amazon-route53
Вопрос:
Я контролирую входящий и исходящий трафик в подсеть с помощью сетевого ACL. У меня есть службы Java, работающие в экземпляре EC2 redhat, и другие некоторые службы, которые работают снаружи. Я использую DNS route53 для связи между службами Java и другими службами, которые работают снаружи.
I am getting the error hostname is not able to resolve in java service if
I allow traffic to the protocol DNS(UDP) 53.
Inbound DNS(UDP) 53
Outbound DNS(UDP) 53
It's working fine if I allow all traffic to UDP in ACL.
Inbound All UDP
Outbound All UDP
Какими будут правильные протокол и порт, которые необходимо настроить как для входящих, так и для исходящих сообщений в ACL сети, чтобы устранить вышеуказанную ошибку?
Ответ №1:
Вы обнаружите, что это тоже работает:
Outbound UDP 53
Inbound UDP Any
Сетевые списки управления доступом не имеют состояния, поэтому ответ на ваш вопрос на самом деле не связан с маршрутом 53, а скорее зависит от того, какой исходный порт использует ваш распознаватель Java. Предположительно, это эфемерный порт. Вам нужно будет определить этот порт или диапазон портов и разрешить его входящий.
Ваша конфигурация не работает, поскольку предполагается, что вы отправляете запросы, используя 53 в качестве исходного порта. В отличие от групп безопасности, сетевые списки управления доступом автоматически не разрешают соответствие трафика ответа разрешенным запросам. Ваша конфигурация позволяет отправлять запрос, но не позволяет возвращать ответ. Вы столкнетесь с той же проблемой, если попытаетесь разрешить, например, HTTPS. 443 входа и выхода — это тоже неправильная конфигурация — это 443 выхода и эфемерный диапазон.