Запрет правило в группе безопасности EC2 не влияет на уже установленный MongoDB соединения

Question

Это случай:

1. Instance X может подключиться к экземпляру Y на TCP порта 27017 (допускаемой группа безопасности EC2)
2. X имеет Монго оболочки
3. Y имеет MongoDB работает, принимая соединение с X порт 27017
4. от X используйте Монго оболочку для подключения к экземпляру БД на Y
5. Из этой сессии оболочки Монго на X, запросы от Y и вставить в Y. Все успешно.
6. Изменение группы безопасности Y: удалить правило порта 27017 упоминается в # 1
7. X все еще может запрашивать от/вставки в БД размещается на Y. Этого не ожидается.
8. Выход из сеанса оболочки монго на X
9. Повторите шаг 4 и не удалось. Это нормально и ожидается.

Ожидается, что сетевой брандмауэр EC2 прекратит соединения, нарушающие правила (политики группы безопасности).

Не могли бы вы объяснить, как происходит 7-е место? И как этого можно избежать (так X ничего не может сделать до Y)?

спасибо.

Answer 1

Expectation что EC2 сетевой брандмауэр прерыванию соединений , которые нарушают правила

Вы делаете предположение здесь. Это может быть ваше ожидание того, как оно должно работать, но где это подкреплено официальной документацией AWS? Я предлагаю прочитать документацию, а не делать предположения о том, как это будет работать.

От the documentation:

существующий поток трафика, который отслеживается не может быть прервана при удалении правила группы безопасности, которая позволяет этот поток. Вместо этого поток прерывается, когда он остановлен вами или другим хостом в течение как минимум нескольких минут (или до 5 дней для установленных соединений TCP ). Для UDP это может потребовать прекращения действия на удаленной стороне потока . Неотслеживаемый поток трафика немедленно прерван, если правило, разрешающее поток, удалено или изменено. Например, если вы удалите правило, которое разрешает весь входящий SSH-трафик (0.0.0.0/0) экземпляру, то существующие соединения SSH с экземпляром немедленно удаляются.

Если вы хотите, чтобы убедиться, что трафик немедленно прерывается, когда вы удалить правило группы безопасности, вы можете использовать сетевой ACL для подсети - сетевые списки управления доступом являются лицами без гражданства и поэтому автоматически не разрешить трафик ответа. Для получения дополнительной информации см. Сетевые списки управления доступом в Справочном руководстве пользователя Amazon VPC .