文章目录
- 确定出口IP
- 修改ACL
- 修改主网络ACL
- 修改入站规则
- 修改子网ACL
- 创建子网ACL
- 新增入站规则
- 新增出站规则
- 关联子网
假如我们希望限制只有公司内部的IP可以SSH登录到EC2,则可以考虑使用ACL来实现。
我们延续使用《AWS攻略——创建VPC》的案例,在它的基础上做相关修改来实现相关功能。
确定出口IP
可以通过访问https://www.myip.com/,查看并记录该IP地址。
修改ACL
有两个方案,任选其一就可以。
修改主网络ACL
修改入站规则
对入站规则进行修改:
- 新增对出口IP的允许规则
- 删除编号为100的规则,即删除“任何地址任何端口都可以访问”的规则
最后只剩下两条规则
修改子网ACL
保持VPC的主ACL默认设置不变,即开启所有流量通行。
创建子网ACL
新增入站规则
即只针对出口IP的22端口放行。
新增出站规则
手工输入所有流量出站规则
关联子网
测试时不要使用Web端的连接EC2方式,而是使用SecureCRT这类在客户端的连接工具。
