AI
Может iptables?
Size: a a a
2021 April 20
AP
Да поидее трафик явно не разрешенный через security groups вообще не должен долетать до инстанса, то есть iptables это уже следующий этап фильтрации
AI
Согласен, но как доп мера звучит неплохо
O
Вообще поидее никак. А ты уверен что его src снаружи?
O
короче, что tcpdump говорит о нем) а то может ты сам себе шлешь)
IV
Как ты тестируешь?
AP
приложение мое слушает и отвечает
O
Я бы убедился в 2 вещах - точно ли результирующие правила со всех зааттаченых к машине SG не пропускают трафик, который не должны и точно ли источник находится за пределами разрешенных (tcpdump, ага)
AP
Точно снаружи хожу)
O
У тебя точно одна SG к машине привязана? Ну то есть есть конечно вероятность что AWS где-то напортачил, но ее я бы оценил на порядки меньше, чем мисконфиг)
AP
20:56:14.392075 IP (tos 0x0, ttl 37, id 50642, offset 0, flags [none], proto UDP (17), length 90)
47.185.169.109.49904 > ip-172-18-0-5.us-east-2.compute.internal.htuilsrv: [udp sum ok] UDP, length 62
47.185.169.109.49904 > ip-172-18-0-5.us-east-2.compute.internal.htuilsrv: [udp sum ok] UDP, length 62
O
Угу, очевидно снаружи.
AP
47.185.169.109 источник внешний ip
O
Вообще, из твоего скрина видно две SG. Но это конечно крайне странно все
AP
Кажется это все таки наличие в vpc интернет шлюза и/или внешнего ip у инстанса
O
sg должна ко всем интерфейсам применяться, иначе она как-то теряет смысл
AP
до сегодняшнего дня думал точно так же)
AP
для tcp именно так все и работает
AS
Хмм, прилетает на внутренний интерфейс ip-172-18-0-5.us-east-2.compute.internal.htuilsrv
а это случайно не служебный траффик самой машины ?
а это случайно не служебный траффик самой машины ?
AP
Это сеть докера просто, залетает снаружи