Portas efêmeras
A ACL de rede de exemplo na seção precedente usa o intervalo de portas efêmero 32768-65535. Entretanto, é recomendável usar um intervalo diferente para suas ACLs de rede dependendo do tipo de cliente que você estiver usando ou com o qual estiver se comunicando.
O cliente que inicia a solicitação escolhe o intervalo de portas efêmero. O intervalo varia dependendo do sistema operacional do cliente.
-
Muitos kernels Linux (incluindo o kernel Amazon Linux) usam portas 32768-61000.
-
As solicitações originadas do Elastic Load Balancing usam as portas 1024-65535.
-
Os sistemas operacionais Windows até o Windows Server 2003 usam portas 1025-5000.
-
O Windows Server 2008 e versões posteriores usam portas 49152-65535.
-
Um gateway NAT usa as portas 1024 a 65535.
-
As funções do AWS Lambda usam portas 1024-65535.
Por exemplo, se uma solicitação chegar ao servidor da web em sua VPC de um cliente Windows 10 na Internet, sua ACL de rede precisará de uma regra de saída para permitir o tráfego destinado às portas 49152 a 65535.
Se uma instância na VPC for o cliente que está iniciando uma solicitação, a ACL de rede precisará de uma regra de entrada para permitir o tráfego destinado para as portas efêmeras específicas ao tipo de instância (Amazon Linux, Windows Server 2008 etc.).
Na prática, para abranger os diferentes tipos de cliente que podem iniciar tráfego para instâncias voltadas para o público em sua VPC, você pode abrir as portas efêmeras 1024 a 65535. Entretanto, você pode também adicionar regras à ACL para negar tráfego a qualquer porta mal-intencionado dentro do intervalo. Não se esqueça de inserir regras de negação na tabela antes de inserir regras de permissão que abram um amplo intervalo de portas efêmeras.