Încerc să blochez porturile de pe subrețelele mele și am o problemă cu o instanță nginx pe care o rulez pe ECS.
Traficul intră în sistem pornit :443 către un ELB, care direcționează o parte dintre ele către o instanță nginx care rulează pe ECS, care proxy_pass-este pe o adresă www externă.
Nginx este setat la proxy_pass la un nume de domeniu și folosește o configurație de rezoluție nginx: resolver 8.8.8.8 ipv6=off valid=10s pentru a rezolva asta la o adresă IP. IP-ul nu este static, așa că trebuie să fac asta.
Cu toate acestea, când îmi aplic acl de rețea, totul funcționează, cu excepția acestei rezoluții dns. Nginx returnează răspunsuri Bad Gateway care se plâng că domeniul meu nu a putut fi rezolvată (110: Operațiune a expirat).
Acl de rețea este configurat pentru a permite tot traficul de ieșire pentru toate protocoalele, dar limitează traficul de intrare la un anumit set de porturi.
Am încercat să adaug 53 (UDP și TCP) în regulile de intrare, dar rezoluția încă eșuează.
Este important să rețineți că, dacă permit tot traficul de intrare, rezoluția dns funcționează.
Întrebarea mea este fie:
- Ce trebuie să fac pentru ca rezolutorul nginx să funcționeze atunci când acl-ul meu de rețea este aplicat?
- Știu că fiecare VPC vine cu un server DNS, astfel încât să direcționeze numele AWS DNS către VM. Aș putea folosi asta ca soluție?
