AWS: ACL réseau bloque le trafic sortant

Je met en œuvre un service REST dans Amazon AWS. Les servlets internes écoutent sur de nombreux ports comme 8080 et 9000, et un Apache configuré en tant que proxy inverse les sert au bon schéma d'URL en utilisant https sur le port 443.

Le server Apache gère l'authentification des users et la security SSL, tandis que les ports internes répondent à toutes les requests sans authentification.

Naturellement, j'aimerais bloquer ces servlets internes d'get du trafic de l'extérieur. J'ai installé une ACL réseau et la configuré en utilisant une version permissive du guide d' Amazon : trafic entrant pour les ports 80, 443, 22 et 49152-65535 pour le trafic de return et le trafic sortant autorisé sur tous les ports.

entrez la description de l'image ici

Cette configuration bloque le trafic sortant: par exemple, le server Jenkins ne peut pas extraire des packages en utilisant pip ou clone repos de github sur le port 22. Le problème est résolu lorsque vous activez les ports 1024-65535 pour le trafic entrant, mais ces parameters exposent les servlets internes.

Pourquoi mes appels sortants sont bloqués? Peut résoudre ce problème en utilisant un seul VPC?

Les Firewalls Amazon ne prennent pas en charge les états TCP? C'est une nouvelle et inquiétante information pour moi …

Sans access clair aux états TCP … Je dirais ouvrir les ports 1024-65535 sur l'ACL Amazon et utiliser le pare-feu local (système / iptables / pare-feu Windows) pour limiter les ports internes spécifiques …

Alternativement, activez tout au-dessus du port 10 000 dans le pare-feu amazon …

Si ce sont les seules options proposées par le pare-feu amazonien … J'appendais certainement au pare-feu du système pour garder tout ce qui est serré.