AWS - 安全组未打开端口

Question

我在 AWS 上创建了一个 Linux t3a.nano EC2，除了启动它并通过 SSH 连接到它之外，我没有在实例上做任何事情。

我想打开 2 个端口，端口 80 和 3000，为此，我创建了一个安全组并将这两个端口都添加到入站规则中。

根据 AWS 文档，您需要在其他文件中打开端口，但如果我连接到实例并列出打开的端口，我的安全组上的端口都没有监听，只有 22 个，但那是默认打开。

我正在运行这个命令来列出端口： sudo netstat -antp | fgrep LISTEN

我尝试的其他步骤：

1. 检查我的 ACL，将在下面附上一张配置图片，并没有改变任何看起来没问题的东西。
2. 已检查实例是否使用了正确的安全组。
3. 停止并启动实例。
4. 创建了一个弹性 IP 并将其与实例相关联，以获得永久的公共 IP 地址。

关于我可能缺少哪些步骤的任何建议？

Answer 1

您正在从实例内部检查端口。安全组 (SG) 在您的实例外部工作。

您可以将它们想象为您的实例周围的气泡。随后，实例不知道它们的存在。这可以如下图所示进行可视化，其中 SG 是实例外部的障碍。只有当 SG 允许流量进入时，您的实例才能通过使用常规软件级防火墙进一步限制流量。

要打开/阻止实例本身的端口，您必须使用常规防火墙，例如 ufw。默认情况下，实例上的所有端口都将打开，至少在使用 Amazon Linux 2 或 Ubuntu 时是这样。

因此，通过您的设置，将允许 22、3000 和 80 罐的入站流量到实例。

Answer 2

更新 - 响应

多亏了上面的 cmets，我才走到这一步！

我想打开端口 3000 来托管 Web 服务，所以我完成了原始问题的所有步骤，我缺少的步骤是运行服务器以在端口 3000 上执行某些操作。运行节点后，我是能够看到端口在内部打开并且能够向该端口发出请求。

安全组保持不变，但现在如果我列出端口，这就是我得到的：sudo netstat -antp | fgrep LISTEN