вот смотрите читаю в бложике про различия sg от nacl и тут есть такой параграф
Security group supports allow rules only (by default all rules are denied). e.g. You cannot deny a certain IP address from establishing a connection.
то есть к примеру если у меня NACL пустая, ( или allow all in/out)
а security группа будет allow inboud/outbound по 22 порту ТОЛЬКО с определенного ип, то остальные так же смогут ломится на 22 порт?
Там много различий, но самое главное. SG - state full, если открыл 22 порт входящий трафик, то SG запомнит откуда пришёл трафик - адрес и порт. На этот порт будет разрешен трафик. Пример, в iptables было Established, Related. NACL - только в одном направление. Если разрешаешь входящий трафик на 22 порт, то нужно ещё разрешить исходящий трафик с 22 порта тоже.
наоборот. Условно, SG - только разрешают . Т.е. в твоем примере - если есть sg "разрешить 22 с ип" - то через эту СГ можно будет только на 22 и только с указанного ип. если ип или порт отличаются - будет отлуп. НАКЛ - позволяет запрещать. Т.е. если тебе надо чтобы зловещий 8.8.8.8 не отправлял тебе ничего, то это проще сделать через накл.
Не с 22, а со всех же. Или на 22 это по другому работает чем с 80?
Обсуждают сегодня