cf) NACL과 Security Group의 차이
클라이언트에서 서버로 부터 요청 할 때 위의 예시를 보면 13.120.100.100 인 IP주소에 80번 포트 번호로 요청을 하고
서버로 부터 응답을 받을 때는 175.34.136.133 인 IP 주소에 1025번 포트로 응답을 받는다.
이 때 요청할 때의 Port번호를 Inbound라 하고
응답 받을 때의 Port번호를 OutBound라고 한다.
OutBound 포트는 1024 ~ 65535 중 임시로 하나를 배분해서 사용한다.
Stateful
SecurityGruop은 Stateful인데 만약 클라이언트에서 EC2로 부터 요청을 하면
EC2는 SecurityGroup에 의해 오로지 80번 포트에서만 요청을 받고
응답을 보내는 OutBound가 none이지만
요청을 받았을 때의 State를 기억하고 있기 떄문에 요청한 포트로 다시 응답을 보낼 수 있다.
Stateless
NACL은 Stateless인데 만약 클라이언트에서 EC2로 부터 요청을 하면
EC2는 NACL에 의해 오로지 80번 포트에서만 요청을 받았지만
요청을 받았을 때의 State를 기억하고 있지 않기 때문에
OutBound = none
즉 응답을 보내지 않는다.
6. NACL 설정하기
- NACL - Stateless
- Security Group - stateful
NACL은 VPC 생성 시 기본적으로 1개 생성되기 때문에 우리는 1개의 NACL을 더 생성해야 한다. (Private, Public)
NACL 생성 이후에 각각 Private, Public Subnet에 연결 시켜줘야 한다.
NACL에 InBound, OutBound를 설정해줘야 한다.
규칙 번호 대로 규칙이 정해진다. (낮은순)
만약 규칙번호 101번호 포트번호 22에 거부를 새로 만들었다고 해도
100번호에 포트번호 22 허용이 되어있으므로 포트 번호 22번은 항상 허용이다.
NACL에서 요청에 대한 응답을 허용할려면 임시포트(1024~65535)를 허용 시켜줘야 한다.
현시깁니다