我是AWS新手,我有一个EC2实例,我想限制在我的家庭networking中的IP。 与VPC关联的子网和安全组之间有什么区别? 从我的理解,是安全组,做IP地址的权限,但我不太确定子网完成。
另外,networkingACL如何发挥呢?
/imgs/4KYWT.png
我是否在源中指定允许的IP地址?
编辑:VPN信息
考虑一下后,我不想将某些外部IP地址列入白名单,而是想让EC2实例在与VPN连接时才可访问。 所以即使我的家庭networking上的电脑也不能访问,除非使用VPN。 这需要我在EC2上build立一个OpenVPN服务器来访问一个私有子网吗?
另外,EC2实例需要访问互联网,这是否意味着它是在一个公共的子网?
谢谢!
第一个问题 – 安全
安全组是在实例虚拟机pipe理程序上运行的防火墙。 networkingACL是在networking上运行的防火墙。 您既可以使用,也可以使用两者。 从理论上说,NACL可以减less主机的负载,但是可能是可以忽略不计的。
安全组是有状态的,所以返回stream量是自动允许的。 NACL需要指定每个方向的防火墙规则,包括临时端口。 安全组因此更易于使用。
在你的情况,我build议你添加一个安全组规则,允许从你的/ 32 IP访问您需要的每个协议。 知识产权进入最右边的专栏。
第二个问题 – VPN
OpenVPN不会改变任何东西的IP地址,它可以被认为是一个网关。 当EC2实例具有访问权限时,您的计算机将连接到EC2实例。 如果我们知道你想用VPN实现什么,我们可能会提供更好的build议。
根据您的更新要求,我可能会使用公共子网中的EC2服务器作为VPN终结器和NAT实例,并在专用子网中使用私有实例EC2。 您的NACL和安全组将设置为允许通过NAT传出Internet访问,但拒绝来自VPN实例以外的传入连接。
我不确定一个实例是否可以成为VPN终结者和NAT。 我怀疑它可以。
是的,您可以添加一个单一的IP地址,例如98.138.253.109/32或者一个IP地址块,如98.138.253.0/24。
根据你的第二个问题,如果你在EC2实例上设置了OpenVPN,你仍然需要添加一个入站规则来允许从你连接到EC2实例的任何地方访问VPN端口(UDP 1194)。
话虽如此,为什么你要设置VPN? 只需添加规则,以允许连接的networking/ IP,我相信它是有限的。