Amazon web services AWS安全组展示'；UDP端口打开'；而它应该否认吗？_Amazon Web Services_Udp_Port_Aws Security Group

Amazon web services AWS安全组展示'；UDP端口打开'；而它应该否认吗？

amazon-web-services udp

Amazon web services AWS安全组展示'；UDP端口打开'；而它应该否认吗？,amazon-web-services,udp,port,aws-security-group,Amazon Web Services,Udp,Port,Aws Security Group,安全组“显示UDP端口已打开”，但应拒绝连接。我有一个实例vpn2-a vpn2-a i-xxxxxxxxx 11.11.11.11 vpn_1_2-vpn12-security-group 1194 udp 55.55.55.55/32, 66.66.66.66/32 我想限制对该实例的UDP端口1194的访问，以接受来自以下专用IP地址的连接： 55.55.55.55/32, 66.66.66.66/32 我已经创建了SG并附加到实例vpn2-a vpn2-a i-xx

安全组“显示UDP端口已打开”，但应拒绝连接。

我有一个实例vpn2-a

vpn2-a i-xxxxxxxxx 11.11.11.11

vpn_1_2-vpn12-security-group
1194    udp 55.55.55.55/32, 66.66.66.66/32

我想限制对该实例的UDP端口1194的访问，以接受来自以下专用IP地址的连接：

    55.55.55.55/32, 66.66.66.66/32

我已经创建了SG并附加到实例vpn2-a

vpn2-a i-xxxxxxxxx 11.11.11.11

vpn_1_2-vpn12-security-group
1194    udp 55.55.55.55/32, 66.66.66.66/32

1。测试它是否工作：

我确实从允许的vpn1-a 55.55.55.55执行了一些“端口打开”测试

vpn1-a$ $ nc -vv 11.11.11.11 1194 -u [nothing]
很好，现在让我们看看，端口是否被随机IP阻止了：

RANDOM_HOST$ nc -vv 11.11.11.11 1194 -u Connection to 11.11.11.11 1194 port [udp/openvpn] succeeded!
^^如何？？？？这应该是否定的！！！请解释一下

2。去毛刺：
这让我很困惑，但我确实做了一些测试：
在vpn2-a实例中：

vpn2-a# /etc/init.d/openvpn stop
如您所见，端口1194上没有侦听任何内容

vpn2-a## netstat -unpa Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 0.0.0.0:747 0.0.0.0:* 7356/rpcbind udp 0 0 0.0.0.0:31885 0.0.0.0:* 587/dhclient udp 0 0 0.0.0.0:68 0.0.0.0:* 587/dhclient udp 0 0 0.0.0.0:111 0.0.0.0:* 7356/rpcbind udp 0 0 10.118.0.152:123 0.0.0.0:* 5434/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 5434/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 5434/ntpd udp6 0 0 :::747 :::* 7356/rpcbind udp6 0 0 :::1082 :::* 587/dhclient udp6 0 0 :::111 :::* 7356/rpcbind udp6 0 0 fe80::41:123 :::* 5434/ntpd udp6 0 0 ::1:123 :::* 5434/ntpd udp6 0 0 :::123 :::* 5434/ntpd
现在不行，测试来自随机IP

RANDOM_HOST$ nc -vv 11.11.11.11 1194 -u Connection to 11.11.11.11 1194 port [udp/openvpn] succeeded!
来自vpn1-a 55.55.55.55

vpn1-a$ $ nc -vv 11.11.11.11 1194 -u [nothing]

所以-我只能猜测，1194连接在AWS“防火墙代理”处以某种方式打开，首先打开端口，然后检查安全组？
请提供解释或修复SG的方法，使其在安全组中定义时显示为“端口关闭”。
原因很简单：UDP是无连接的。由于没有确认，所以“成功”和进入黑洞的数据包无法区分
如果您向目的地发送UDP数据包，并且该数据包未被主动拒绝或不可中断，则它将显示为成功
这可能是一种错觉。UDP没有指示实际成功的机制，因此
成功了消息只是告诉您未检测到活动故障 AWS中的安全组不会主动拒绝未经授权的通信，而是默默地丢弃它。如果我尝试发送ping（ICMP echo请求）或与您的实例建立TCP连接，如果您的安全组不允许我，我将得到“请求超时”或“连接超时”。但是使用UDP，发送方无法检测数据包是否被转发或丢弃简言之，您看到的是正常的行为，并不意味着流量实际上被允许通过。你应该能够通过你试图访问的机器上的数据包嗅探器确认这一点。。。如果流量被阻止，则您将看不到它，除非您通过安全组允许它但是，请注意，安全组是有状态的。如果已经允许出站流量，则实际上不必提供传入UDP映射以在固定点到点配置上运行openvpn，因为当服务器a向目标服务器B上的端口1194发送UDP数据包时，网络基础设施将“记住”这一点几分钟（直到没有流量为止），如果服务器B使用与之联系的相同UDP端口向服务器A作出响应，则网络允许通过，前提是A不会向B发送通信量，除非响应被授权。。。DNS查询响应是此类行为的常见示例。。。因此，如果UDP上的点对点openvpn即使在入站安全组规则不允许的情况下也能工作，这也是预期的行为，并不意味着安全组没有完成它的工作。原因很简单：UDP是无连接的。由于没有确认，所以“成功”和进入黑洞的数据包无法区分如果您向目的地发送UDP数据包，并且该数据包未被主动拒绝或不可中断，则它将显示为成功这可能是一种错觉。UDP没有指示实际成功的机制，因此成功了消息只是告诉您未检测到活动故障 AWS中的安全组不会主动拒绝未经授权的通信，而是默默地丢弃它。如果我尝试发送ping（ICMP echo请求）或与您的实例建立TCP连接，如果您的安全组不允许我，我将得到“请求超时”或“连接超时”。但是使用UDP，发送方无法检测数据包是否被转发或丢弃简言之，您看到的是正常的行为，并不意味着流量实际上被允许通过。你应该能够通过你试图访问的机器上的数据包嗅探器确认这一点。。。如果流量被阻止，则您将看不到它，除非您通过安全组允许它但是，请注意，安全组是有状态的。如果已经允许出站流量，则实际上不必提供传入UDP映射以在固定点到点配置上运行openvpn，因为当服务器a向目标服务器B上的端口1194发送UDP数据包时，网络基础设施将“记住”这一点几分钟（直到没有流量为止），如果服务器B使用与之联系的相同UDP端口向服务器A作出响应，则网络允许通过，前提是A不会向B发送通信量，除非响应被授权。。。DNS查询响应是此类行为的常见示例。。。因此，如果UDP上的点对点openvpn即使在入站安全组规则不允许的情况下也能工作，这也是预期的行为，并不意味着安全组没有完成它的工作。请检查路由表。没有奇迹。请记住，您不能使用任何VPC子网的前4个IP。检查您的追踪路线。请检查您的路线表。没有奇迹。请记住，您不能使用任何VPC子网的前4个IP。检查你的追踪路线。我猜是这样的，但没有时间研究这是安全小组正在做的。很好的回答我猜是这样的，但没有时间研究这是安全小组正在做的事情。回答得好