ACL réseau personnalisées du VPC
Vous pouvez créer une ACL réseau personnalisée et l'associer à un sous-réseau pour autoriser ou refuser un trafic entrant ou sortant spécifique au niveau du sous-réseau. Pour de plus amples informations, consultez Créer une liste ACL réseau pour votre VPC.
Chaque ACL réseau inclut une règle entrante par défaut et une règle sortante par défaut dont le numéro est un astérisque (*). Ces règles permettent de s’assurer qu’un paquet sera refusé s’il ne correspond à aucune des autres règles.
Vous pouvez modifier une ACL réseau en ajoutant ou en supprimant des règles. Vous ne pouvez pas supprimer une règle dont le numéro est un astérisque.
Pour chaque règle que vous ajoutez, une règle entrante ou sortante autorisant le trafic de réponse doit exister. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.
Exemples de règles entrantes
Le tableau suivant contient des exemples de règles entrantes dans le cadre d’une ACL réseau. Les règles relatives à IPv6 sont uniquement ajoutées si le VPC dispose d’un bloc CIDR IPv6 associé. Les trafics IPv4 et IPv6 sont évalués séparément. Ainsi, aucune des règles associées au trafic IPv4 ne s’applique au trafic IPv6. Vous pouvez ajouter des règles IPv6 à côté des règles IPv4 correspondantes ou ajouter les règles IPv6 après la dernière règle IPv4.
Lorsqu’un paquet arrive dans le sous-réseau, nous l’évaluons par rapport aux règles entrantes de l’ACL réseau qui est associée au sous-réseau, en commençant par la règle possédant le numéro le plus bas. Par exemple, supposons qu’un trafic IPv4 soit destiné au port HTTPS (443). Le paquet ne correspond pas à la règle 100 ou 105. Il correspond à la règle 110, qui autorise le trafic à entrer dans le sous-réseau. Si le paquet avait été destiné au port 139 (NetBIOS), il ne correspondrait à aucune des règles numérotées, de sorte que la règle * relative au trafic IPv4 finirait par refuser le paquet.
| Règle n° | Type | Protocole | Plage de ports | Source | Autoriser/Refuser | Commentaires |
|---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
AUTORISER |
Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv4. |
105 |
HTTP |
TCP |
80 |
::/0 |
AUTORISER |
Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv6. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
AUTORISER |
Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv4. |
115 |
HTTPS |
TCP |
443 |
::/0 |
AUTORISER |
Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv6. |
120 |
SSH |
TCP |
22 |
|
AUTORISER |
Autorise le trafic SSH entrant depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet). |
140 |
TCP personnalisé |
TCP |
|
0.0.0.0/0 |
AUTORISER |
Autorise le trafic IPv4 de retour entrant en provenance d’Internet (pour les demandes qui proviennent du sous-réseau). |
145 |
TCP personnalisé |
TCP |
|
::/0 |
AUTORISER |
Autorise le trafic IPv6 de retour entrant en provenance d’Internet (pour les demandes qui proviennent du sous-réseau). |
* |
Tout le trafic |
Tous |
Tous |
0.0.0.0/0 |
REFUSER |
Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable). |
* |
Tout le trafic |
Tous |
Tous |
::/0 |
REFUSER |
Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable). |
Exemples de règles sortantes
Le tableau suivant contient des exemples de règles sortantes dans le cadre d’une ACL réseau personnalisée. Les règles relatives à IPv6 sont uniquement ajoutées si le VPC dispose d’un bloc CIDR IPv6 associé. Les trafics IPv4 et IPv6 sont évalués séparément. Ainsi, aucune des règles associées au trafic IPv4 ne s’applique au trafic IPv6. Vous pouvez ajouter des règles IPv6 à côté des règles IPv4 correspondantes ou ajouter les règles IPv6 après la dernière règle IPv4.
| Règle n° | Type | Protocole | Plage de ports | Destination | Autoriser/Refuser | Commentaires |
|---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
AUTORISER |
Autorise le trafic HTTP IPv4 sortant du sous-réseau vers Internet. |
105 |
HTTP |
TCP |
80 |
::/0 |
AUTORISER |
Autorise le trafic HTTP IPv6 sortant du sous-réseau vers Internet. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
AUTORISER |
Autorise le trafic HTTPS IPv4 sortant du sous-réseau vers Internet. |
115 |
HTTPS |
TCP |
443 |
::/0 |
AUTORISER |
Autorise le trafic HTTPS IPv6 sortant du sous-réseau vers Internet. |
120 |
TCP personnalisé |
TCP |
|
|
AUTORISER |
Autorise les réponses sortantes au trafic SSH depuis le réseau domestique. |
140 |
TCP personnalisé |
TCP |
|
0.0.0.0/0 |
AUTORISER |
Autorise les réponses IPv4 sortantes aux clients sur Internet (par exemple, la diffusion de pages Web). |
145 |
TCP personnalisé |
TCP |
|
::/0 |
AUTORISER |
Autorise les réponses IPv6 sortantes aux clients sur Internet (par exemple, la diffusion de pages Web). |
* |
Tout le trafic |
Tous |
Tous |
0.0.0.0/0 |
REJETER |
Refuse l’ensemble du trafic IPv4 sortant qui n’est pas déjà géré par une règle précédente. |
* |
Tout le trafic |
Tous |
Tous |
::/0 |
REJETER |
Refuse l’ensemble du trafic IPv6 sortant qui n’est pas déjà géré par une règle précédente. |
Ports éphémères
L'exemple de liste ACL réseau fourni dans la section précédente utilise la plage de ports éphémères 32768-65535. Toutefois, vous pouvez choisir une plage différente pour vos listes ACL réseau, en fonction du type de client que vous utilisez ou avec lequel vous communiquez.
Le client qui initie la demande choisit la plage de ports éphémères, qui varie en fonction de son système d'exploitation.
-
De nombreux noyaux Linux (y compris le noyau Amazon Linux) utilisent les ports 32768-61000.
-
Les demandes provenant d'Elastic Load Balancing utilisent les ports 1024-65535.
-
Les systèmes d'exploitation Windows exécutant Windows Server 2003 utilisent les ports 1025-5000.
-
Windows Server 2008 et les versions ultérieures utilisent les ports 49152-65535.
-
Une passerelle NAT utilise les ports 1024-65535.
-
AWS LambdaLes fonctions utilisent les ports 1024-65535.
Par exemple, si une demande arrive sur un serveur Web dans votre VPC en provenance d'un client Windows 10 sur Internet, votre liste ACL réseau doit comporter une règle sortante pour autoriser le trafic destiné aux ports 49152-65535.
Si une instance de votre VPC correspond au client initiant la demande, votre ACL réseau doit comporter une règle entrante pour autoriser le trafic destiné aux ports éphémères propres au système d’exploitation de l’instance.
En pratique, pour couvrir les différents types de clients susceptibles d'initier du trafic vers des instances destinées au public dans votre VPC, vous pouvez ouvrir les ports éphémères 1024-65535. Toutefois, vous pouvez également ajouter des règles à la liste ACL afin de refuser le trafic sur tous les ports malveillants inclus dans cette plage. Assurez-vous de placer les règles deny avant les règles allow qui ouvrent la grande plage de ports éphémères.
Listes ACL réseau personnalisées et autres services AWS
Si vous créez une ACL réseau personnalisée, sachez qu'elle peut affecter les ressources que vous créez avec d'autres services AWS.
Avec Elastic Load Balancing, si le sous-réseau de vos instances backend comporte une liste de contrôle d'accès réseau à laquelle vous avez ajouté une règle refuser pour tout le trafic dont la source est 0.0.0.0/0 ou le CIDR du sous-réseau, votre équilibreur de charge ne peut pas effectuer de vérifications d'état sur les instances. Pour de plus amples informations sur les règles d’ACL réseau recommandées pour vos équilibreurs de charge et vos instances principales, consultez les sections relatives aux sujets suivants :
Résolution des problèmes d’accessibilité
L’analyseur d’accessibilité est un outil d’analyse de configuration statique. Utilisez l’analyseur d’accessibilité pour analyser et déboguer l’accessibilité réseau entre deux ressources dans votre VPC. L’analyseur d’accessibilité produit des détails saut par saut du chemin virtuel entre ces ressources lorsqu’elles sont accessibles, et identifie le composant bloquant dans le cas contraire. Par exemple, il peut identifier les règles des listes ACL réseau manquantes ou mal configurées.
Pour plus d'informations, reportez-vous au Guide de l'Analyseur d'accessibilité.
