Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
ACL jaringan khusus untuk VPC Anda
Anda dapat membuat ACL jaringan khusus dan mengaitkannya dengan subnet untuk mengizinkan atau menolak lalu lintas masuk atau keluar tertentu di tingkat subnet. Untuk informasi selengkapnya, lihat Membuat ACL jaringan untuk VPC anda.
Setiap ACL jaringan menyertakan aturan masuk default dan aturan keluar default yang nomor aturannya adalah tanda bintang (*). Aturan ini memastikan bahwa jika paket tidak cocok dengan aturan lainnya, itu ditolak.
Anda dapat memodifikasi ACL jaringan dengan menambahkan atau menghapus aturan. Anda tidak dapat menghapus aturan di mana nomor aturan adalah tanda bintang.
Untuk setiap aturan yang Anda tambahkan, harus ada aturan masuk atau keluar yang memungkinkan lalu lintas respons. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat Ephemeral port.
Contoh aturan masuk
Tabel berikut menunjukkan contoh aturan inbound untuk ACL jaringan. Aturan untuk IPv6 ditambahkan hanya jika VPC memiliki blok CIDR IPv6 terkait. Lalu lintas IPv4 dan IPv6 dievaluasi secara terpisah. Oleh karena itu, tidak ada aturan untuk lalu lintas IPv4 yang berlaku untuk lalu lintas IPv6. Anda dapat menambahkan aturan IPv6 di samping aturan IPv4 yang sesuai, atau menambahkan aturan IPv6 setelah aturan IPv4 terakhir.
Ketika sebuah paket datang ke subnet, kami mengevaluasinya terhadap aturan inbound ACL jaringan yang terkait dengan subnet, dimulai dengan aturan bernomor terendah. Misalnya, ada lalu lintas IPv4 yang ditujukan untuk port HTTPS (443). Paket tidak cocok dengan aturan 100 atau 105. Ini cocok dengan aturan 110, yang memungkinkan lalu lintas ke subnet. Jika paket telah ditakdirkan untuk port 139 (NetBIOS), itu tidak akan cocok dengan salah satu aturan bernomor, sehingga aturan* untuk lalu lintas IPv4 akhirnya menyangkal paket tersebut.
| Aturan # | Tipe | Protokol | Rentang port | Sumber | Allow/Deny | Komentar |
|---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0. 0/0 |
IZINKAN |
Mengizinkan lalu lintas HTTP masuk dari alamat IPv4 apa pun. |
105 |
HTTP |
TCP |
80 |
::/0 |
IZINKAN |
Mengizinkan lalu lintas HTTP masuk dari alamat IPv6 apa pun. |
110 |
HTTPS |
TCP |
443 |
0.0.0. 0/0 |
IZINKAN |
Mengizinkan lalu lintas HTTP masuk dari alamat IPv4 apa pun. |
115 |
HTTPS |
TCP |
443 |
::/0 |
IZINKAN |
Mengizinkan akses HTTPS masuk dari alamat IPv6 apa pun. |
120 |
SSH |
TCP |
22 |
|
IZINKAN |
Mengizinkan lalu lintas SSH masuk dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet). |
140 |
TCP Kustom |
TCP |
|
0.0.0. 0/0 |
IZINKAN |
Memungkinkan lalu lintas IPv4 kembali masuk dari internet (untuk permintaan yang berasal dari subnet). |
145 |
TCP Kustom |
TCP |
|
::/0 |
IZINKAN |
Memungkinkan lalu lintas IPv6 kembali masuk dari internet (untuk permintaan yang berasal dari subnet). |
* |
Semua Lalu lintas |
Semua |
Semua |
0.0.0. 0/0 |
DENY |
Menolak semua lalu lintas IPv4 masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah). |
* |
Semua lalu lintas |
Semua |
Semua |
::/0 |
TOLAK |
Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
Contoh aturan keluar
Tabel berikut menunjukkan contoh aturan keluar untuk ACL jaringan kustom. Aturan untuk IPv6 ditambahkan hanya jika VPC memiliki blok CIDR IPv6 terkait. Lalu lintas IPv4 dan IPv6 dievaluasi secara terpisah. Oleh karena itu, tidak ada aturan untuk lalu lintas IPv4 yang berlaku untuk lalu lintas IPv6. Anda dapat menambahkan aturan IPv6 di samping aturan IPv4 yang sesuai, atau menambahkan aturan IPv6 setelah aturan IPv4 terakhir.
| Aturan # | Tipe | Protokol | Rentang Port | Tujuan | Allow/Deny | Komentar |
|---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0. 0/0 |
IZINKAN |
Mengizinkan lalu lintas HTTP IPv4 keluar dari subnet ke internet. |
105 |
HTTP |
TCP |
80 |
::/0 |
IZINKAN |
Mengizinkan lalu lintas HTTP IPv6 keluar dari subnet ke internet. |
110 |
HTTPS |
TCP |
443 |
0.0.0. 0/0 |
IZINKAN |
Mengizinkan lalu lintas HTTPS IPv4 keluar dari subnet ke internet. |
115 |
HTTPS |
TCP |
443 |
::/0 |
IZINKAN |
Mengizinkan lalu lintas HTTPS IPv6 keluar dari subnet ke internet. |
120 |
TCP Kustom |
TCP |
|
|
IZINKAN |
Memungkinkan respons keluar untuk lalu lintas SSH dari jaringan rumah Anda. |
140 |
TCP Kustom |
TCP |
|
0.0.0. 0/0 |
IZINKAN |
Memungkinkan tanggapan IPv4 keluar ke klien di internet (misalnya, melayani halaman web). |
145 |
TCP Kustom |
TCP |
|
::/0 |
IZINKAN |
Memungkinkan tanggapan IPv6 keluar ke klien di internet (misalnya, melayani halaman web). |
* |
Semua Lalu lintas |
Semua |
Semua |
0.0.0. 0/0 |
DENY |
Menyangkal semua lalu lintas IPv4 keluar yang belum ditangani oleh aturan sebelumnya. |
* |
Semua Lalu lintas |
Semua |
Semua |
::/0 |
TOLAK |
Menyangkal semua lalu lintas IPv6 keluar yang belum ditangani oleh aturan sebelumnya. |
Ephemeral port
Contoh ACL jaringan di bagian sebelumnya menggunakan rentang ephemeral port 32768-65535. Namun, Anda mungkin ingin menggunakan rentang yang berbeda untuk ACL jaringan Anda tergantung pada jenis klien yang Anda gunakan atau yang berkomunikasi dengan Anda.
Klien yang menginisiasi permintaan memilih rentang ephemeral port. Rentang bervariasi tergantung pada sistem operasi klien.
-
Banyak kernel Linux (termasuk kernel Amazon Linux) menggunakan port 32768-61000.
-
Permintaan yang berasal dari Elastic Load Balancing menggunakan port 1024-65535.
-
Sistem operasi Windows melalui Windows Server 2003 menggunakan port 1025-5000.
-
Windows Server 2008 dan versi yang lebih baru menggunakan port 49152-65535.
-
Gateway NAT menggunakan port 1024-65535.
-
AWS Lambda fungsi menggunakan port 1024-65535.
Sebagai contoh, jika permintaan datang ke server web di VPC Anda dari klien Windows 10 di internet, ACL jaringan Anda harus memiliki aturan keluar untuk mengaktifkan lalu lintas yang ditujukan untuk port 49152-65535.
Jika instance di VPC Anda adalah klien yang memulai permintaan, ACL jaringan Anda harus memiliki aturan masuk untuk mengaktifkan lalu lintas yang ditujukan untuk port sementara khusus untuk sistem operasi instance.
Dalam prakteknya, untuk mencakup berbagai jenis klien yang mungkin menginisiasi lalu lintas untuk ke instans yang menghadap publik di VPC Anda, Anda dapat membuka ephemeral port 1024-65535. Namun, Anda juga dapat menambahkan aturan ke ACL untuk menolak lalu lintas pada setiap port yang berbahaya dalam rentang tersebut. Pastikan bahwa Anda menempatkan aturan Tolak sebelumnya dalam tabel daripada aturan Izinkan yang membuka berbagai macam ephemeral port.
ACL jaringan khusus dan layanan lainnya AWS
Jika Anda membuat ACL jaringan kustom, perhatikan bagaimana hal itu dapat memengaruhi sumber daya yang Anda buat menggunakan AWS layanan lain.
Dengan Elastic Load Balancing, jika subnet untuk instans backend Anda memiliki ACL jaringan di mana Anda telah menambahkan aturan Tolak untuk semua lalu lintas dengan sumber 0.0.0.0/0 atau CIDR subnet, penyeimbang beban Anda tidak dapat melakukan pemeriksaan kondisi pada instans. Untuk informasi selengkapnya tentang aturan ACL jaringan yang direkomendasikan untuk penyeimbang beban dan instans backend, lihat berikut ini:
Memecahkan masalah keterjangkauan
Reachability Analyzer adalah alat analisis konfigurasi statis. Gunakan Reachability Analyzer untuk menganalisis dan men-debug jangkauan jaringan antara dua sumber daya di VPC Anda. Reachability Analyzer menghasilkan rincian hop-by-hop dari jalur virtual antara sumber daya ini ketika mereka dapat dijangkau, dan mengidentifikasi komponen pemblokiran sebaliknya. Misalnya, dapat mengidentifikasi aturan ACL jaringan yang hilang atau salah konfigurasi.
Untuk informasi selengkapnya, lihat Panduan Reachability Analyzer.
