Почему экземпляр EC2 продолжает отвечать на запрос проверки связи после удаления правила входящей группы безопасности?

Question

Почему экземпляр EC2 продолжает отвечать на запрос проверки связи после удаления правила входящей группы безопасности?

Играя с консолью AWS, я попробовал следующее

Запустил экземпляр EC2 (общедоступный IP-адрес включен) в VPC по умолчанию с группой безопасности по умолчанию и подсетью по умолчанию.
EC2 запущен в подсети по умолчанию с публичным IP.
отправьте эхо-запрос на экземпляр EC2 из командной строки, используя общедоступный IP-адрес.
время ожидания запроса истекло.
заметил, что правило входящей группы безопасности по умолчанию разрешает трафик только из источников в группе безопасности.
изменено правило входящей группы безопасности и разрешен трафик из любой точки (0.0.0.0/0)
снова пропинговал экземпляр EC2, используя публичный IP.
получил ответ от сервера. Все хорошо до сих пор.
ping-ответ от хоста EC2 продолжает отображаться в консоли.
Я удалил правило входящей группы безопасности. Теперь нет никаких входящих правил для группы безопасности.
на терминале ответ от экземпляра EC2 продолжает отображаться.

У меня вопрос: почему я вижу ответ от хоста (экземпляр EC2), хотя правило входящей группы безопасности было удалено?

Разве изменение правила входящей группы безопасности не применяется немедленно? Почему хост (экземпляр EC2) продолжает отвечать без правила входящей группы безопасности?

5

networking amazon-web-services amazon-ec2 ping security-groups

Источник

Nishant 19 апр '19 в 22:19

1 ответ

Решение

Другие вопросы по тегам networking amazon-web-services amazon-ec2 ping security-groups

Michael - sqlbot 20 апр '19 в 00:50 2019-04-20 00:50 · Accepted Answer · 2019-04-20 00:50

Изменение вступает в силу немедленно, но правила группы безопасности контролируют создание новых потоков трафика (определяемых по адресу источника и назначения, протоколу и номерам портов для протоколов, использующих номера портов).

В зависимости от конкретного рассматриваемого правила потоки могут или не могут активно отслеживаться сетью, но потоки ICMP всегда отслеживаются. Как только отслеживаемый поток установлен, поток больше не должен соответствовать правилу, потому что сеть создала запись таблицы состояний для потока, которая будет сохраняться до тех пор, пока сеть не удалит ее, либо из-за тайм-аута неактивности, либо из-за закрытия / сброса для ориентированных на соединение протоколов, таких как TCP.

Отслеживаемые потоки не нарушаются удалением правила, которое позволяло их создавать.

Остановите пинг и перезапустите его. Если он продолжает работать, остановите его и подождите несколько секунд, прежде чем перезапустить. Вы должны обнаружить, что вскоре после удаления правила новая попытка пропинговать целевой экземпляр приводит к тайм-ауту.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html