使用企业安全组导致自建SNAT网关网络不通-阿里云开发者社区

开发者社区> 云计算> 正文

使用企业安全组导致自建SNAT网关网络不通

简介: 使用企业安全组导致自建SNAT网关网络不通

场景 :

主机A 具备公网IP 作为 SNAT。

主机B 作为客户端通过主机A 访问公网。

主机A使用普通安全组。

主机B使用企业安全组。

主机C和主机A使用同一个安全组。

现象:

主机B ping 公网正常,telnet baidu.com 443 端口不通,而主机C则正常。

原因:

主机A的安全组上没有开放443,所以主机B 无法使用443端口。

由于A、C 处于同一个安全组因此A 、C 两个主机互通不需要再添加安全组规则。

而B使用企业安全组则,则其无法访问A主机443端口,则访问百度TCP 443的请求转发至A主机后被丢弃。

在排查时忽略了企业安全组的问题,导致长时间未能定位到问题。

在这里需要强调企业安全组与普通安全组最关键的差别:

企业安全组 入和出默认都禁止。
同一个企业安全组的主机不能互通,需要单独加安全组规则。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
云计算
使用钉钉扫一扫加入圈子
+ 订阅

时时分享云计算技术内容,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

其他文章