Q&A
BA みて回答追加したけど、asm さんがすでに回答してましたね^^;
初心者で教則本を読みながらAWSの無料枠を利用してAWSやインフラのことについて学んでいます。
どうも腑に落ちないところがあったので質問させていただきます。
写真のような構成のシステムを構築する教則本です。
本に沿って学習しています。
apacheをインストールするインスタンスのセキュリティグループのインバウンドではSSHの22、HTTPの80以外通さない設定になっています。
また、MYSQLをインストールするインスタンスのセキュリティグループのインバウンドはSSHの22とmySQL3306以外通さない設定にしています。
アウトバウンドは共に無制限です。
この状態でApacheやMySQL、ワードプレスのインストールをする場面があってコマンドを打つとダウンロードしてインストールできるのですが、なぜできるかの理由が全くわからないです。
インターネットにどちらのインスタンスもつながっているのはわかるのですが、セキュリティグループで制限しているのになぜインターネット上からダウンロードできるのでしょうか?
ダウンロードと言う行為は外から内へのインバウンドのセキュリティグループによって阻害されるものに思えます。
例えばhttpの通信でもクライアント側からサーバーの80に送信しても応答はクライアント側の空いているポートに返ってくるんですよね?
ファイルのダウンロードやインストールがどのようなポート番号で行われているのかは知りませんが、少なくともこのインスタンスではSSH、HTTP、MySQLの3306以外通さない仕組みになっているのになんで外から内への通信が成り立っているのか謎で仕方ありません。
インフラ初心者なのでわかりやすく教えてくれる方なんとなくでもいいので説明してくださらないでしょうか?
回答4件
0
アウトバウンドは共に無制限です。
セキュリティグループはステートフルです。インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループルールにかかわらず、流れることができます。許可されたインバウンドトラフィックに対する応答(戻りのトラフィック)は、アウトバウンドルールにかかわらずアウト側に対し通過することができます。
投稿2019/11/30 23:56
総合スコア15149
0
ベストアンサー
SFTPというファイル転送プロトコルがあります
これは、SSHの経路を使ってファイル転送しますんで、SSHのポートでファイル転送もできるってことですね
投稿2019/11/30 23:11
総合スコア88038
0
FW の内側からのアクセスは、アウトバウンドになります。
で、その通信は FW の持つステートフルパケットインスペクションにより戻りを保証されると言うのが一般的な解釈になります。
*AWS の構成が正しく上記を行っているのかの確認はしておりません。
投稿2019/12/01 04:58
退会済みユーザー
総合スコア0
0
ベストアンサーにしてるのは全く関係ないので何も解決してない。
インバウンドはEC2の外から中への通信。
手元のPCからEC2にSSHできるのはport22を許可しているから。
SFTPもこっちの話。
アウトバウンドはEC2の中から外への通信。
EC2内でのダウンロードはこっちなのでアウトバウンドの設定。
インバウンドは関係ない。
投稿2019/12/01 04:53
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。