Puertos efímeros
La ACL de red de ejemplo en la sección anterior utiliza un rango de puertos efímeros de 32768-65535. No obstante, puede que desee utilizar un rango diferente para sus ACL de red, dependiendo del tipo de cliente que esté utilizando o con el que se esté comunicando.
El cliente que inicia la solicitud elige el rango de puertos efímeros. El rango varía en función del sistema operativo del cliente.
-
Muchos kernels de Linux (incluido el kernel de Amazon Linux) utilizan puertos 32768-61000.
-
Las solicitudes que se originan desde Elastic Load Balancing utilizan puertos 1024-65535.
-
Los sistemas operativos Windows con Windows Server 2003 utilizan los puertos 1025-5000.
-
Windows Server 2008 y las versiones posteriores utilizan los puertos 49152-65535.
-
Una gateway NAT utiliza los puertos 1024-65535.
-
Las funciones de AWS Lambda utilizan los puertos 1024-65535.
Por ejemplo, si una solicitud llega a un servidor web en su VPC desde un cliente de Windows 10 en Internet, su ACL de red deberá tener una regla saliente para permitir el tráfico destinado a los puertos 49152 a 65535.
Si una instancia de la VPC es el cliente que inicia una solicitud, la ACL de red debe tener una regla entrante para habilitar el tráfico destinado a los puertos efímeros específicos del tipo de instancia (Amazon Linux, Windows Server 2008, etc.).
En la práctica, para cubrir los distintos tipos de clientes que pueden iniciar tráfico a instancias públicas en su VPC, puede abrir los puertos efímeros 1024-65535. Sin embargo, también puede añadir reglas a la ACL para denegar tráfico en puertos malintencionados en ese rango. Asegúrese de colocar las reglas denegar en la tabla antes de las reglas permitir que abren el amplio rango de puertos efímeros.
