Amazon Virtual Private Cloud
Guía del usuario

ACL de red

Una lista de control de acceso (ACL) de red es una capa de seguridad opcional para su VPC que actúa como firewall para controlar el tráfico entrante y saliente de una o varias subredes. Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Comparación de grupos de seguridad y ACL de red.

Conceptos básicos de las ACL de red

A continuación se describen los conceptos básicos que debe saber acerca de las ACL de red:

  • Su VPC incluye automáticamente una ACL de red predeterminada y modificable. De forma predeterminada, permite todo el tráfico IPv4 entrante y saliente y, si corresponde, el tráfico IPv6.

  • Puede crear una ACL de red personalizada y asociarla a una subred. De forma predeterminada, todas las ACL de red personalizadas denegarán todo el tráfico entrante y saliente hasta que añada reglas.

  • Cada subred de su VPC debe estar asociada a una ACL de red. Si no asocia una subred de forma explícita a una ACL de red, la subred se asociará automáticamente a la ACL de red predeterminada.

  • Puede asociar una ACL de red a varias subredes; sin embargo, una subred solo se puede asociar a una ACL de red al mismo tiempo. Al asociar una ACL de red a una subred, se quita la asociación anterior.

  • Una ACL de red contiene una lista numerada de reglas que evaluamos por orden, empezando por la regla con el número más bajo, para determinar si se permite el tráfico entrante o saliente de alguna subred asociada a la ACL de red. El número más alto que puede utilizar para una regla es 32766. Le recomendamos que empiece creando reglas en incrementos (por ejemplo, incrementos de 10 o 100), de forma que pueda insertar reglas nuevas cuando lo necesite más adelante.

  • Una ACL de red tiene reglas entrantes y salientes por separado, y cada regla puede permitir o denegar el tráfico.

  • Las ACL de red son sin estado; las respuestas al tráfico entrante permitido están sujetas a las reglas de tráfico saliente (y viceversa).

Para obtener más información, consulte Límites de Amazon VPC.

Reglas de ACL de red

Puede añadir o quitar reglas de la ACL de red predeterminada, o bien crear ACL de red adicionales para su VPC. Al añadir o quitar reglas de una ACL de red, los cambios se aplicarán automáticamente a las subredes con las que esté asociada.

Las siguientes son las partes de una regla de ACL de red:

  • Número de regla. Las reglas se evalúan comenzando por la regla con el número más bajo. Cuando una regla coincide con el tráfico, esta se aplica independientemente de si hay una regla con un número más alto que la pueda contradecir.

  • Protocolo. Puede especificar cualquier protocolo que tenga un número de protocolo estándar. Para obtener más información, consulte Protocol Numbers. Si especifica ICMP como el protocolo, puede especificar cualquiera de los tipos y códigos de ICMP.

  • [Solo reglas entrantes] Origen del tráfico (rango de CIDR) y puerto de destino (de escucha) o rango de puertos.

  • [Solo reglas salientes] Destino del tráfico (rango de CIDR) y puerto de destino o rango de puertos.

  • Elección de PERMITIR o DENEGAR para el tráfico especificado.

ACL de red predeterminada

La ACL de red predeterminada está configurada para permitir todo el tráfico entrante y saliente de las subredes con las que está asociada. Cada ACL de red también incluye una regla cuyo número de regla es un asterisco. Esta regla garantiza que si un paquete no coincide con ninguna de las reglas numeradas, se denegará. No es posible modificar ni quitar esta regla.

A continuación se muestra un ejemplo de una ACL de red predeterminada para una VPC que solo admite IPv4.

Entrada
Regla n.º Tipo Protocolo Rango de puerto Fuente Permitir/Denegar

100

Todo el tráfico IPv4

Todos

Todos

0.0.0.0/0

PERMITIR

*

Todo el tráfico IPv4

Todos

Todos

0.0.0.0/0

DENEGAR

Salida
Regla n.º Tipo Protocolo Rango de puertos Destino Permitir/Denegar

100

Todo el tráfico IPv4

Todos

Todos

0.0.0.0/0

PERMITIR

*

Todo el tráfico IPv4

Todos

Todos

0.0.0.0/0

DENEGAR

Si crea una VPC con un bloque de CIDR IPv6 o si asocia un bloque de CIDR IPv6 con su VPC existente, añadiremos automáticamente reglas que permitan todo el tráfico IPv6 entrante y saliente de su subred. Asimismo, añadiremos reglas cuyos números de regla sean un asterisco que asegure que un paquete se denegará si no coincide con ninguno de las demás reglas numeradas. No es posible modificar ni quitar estas reglas. A continuación se muestra un ejemplo de una ACL de red predeterminada para una VPC que solo admite IPv4 e IPv6.

nota

Si ha modificado sus reglas entrantes predeterminadas de la ACL de red, no se añadirá automáticamente una regla PERMITIR para el tráfico IPv6 entrante cuando asocie un bloque de IPv6 a su VPC. De forma similar, si ha modificado las reglas salientes, no añadiremos automáticamente una regla PERMITIR para el tráfico IPv6 saliente.

Entrada
Regla n.º Tipo Protocolo Rango de puerto Fuente Permitir/Denegar

100

Todo el tráfico IPv4

Todos

Todos

0.0.0.0/0

PERMITIR

101

Todo el tráfico IPv6

Todo

Todo

::/0

PERMITIR

*

Todo el tráfico

Todo

Todos

0.0.0.0/0

DENEGAR

*

Todo el tráfico IPv6

Todo

Todo

::/0

DENEGAR

Salida
Regla n.º Tipo Protocolo Rango de puertos Destino Permitir/Denegar

100

Todo el tráfico

Todo

Todos

0.0.0.0/0

PERMITIR

101

Todo el tráfico IPv6

Todo

Todo

::/0

PERMITIR

*

Todo el tráfico

Todo

Todos

0.0.0.0/0

DENEGAR

*

Todo el tráfico IPv6

Todo

Todo

::/0

DENEGAR

ACL de red personalizada

La siguiente tabla muestra un ejemplo de una ACL de red personalizada para una VPC que solo admite IPv4. Incluye reglas que permiten el tráfico HTTP y HTTPS entrante (reglas entrantes 100 y 110). Hay una regla saliente correspondiente que permite las respuestas a ese tráfico entrante (regla saliente 120, que cubre los puertos efímeros 32768-65535). Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte Puertos efímeros.

La ACL de red también incluye reglas entrantes que permiten el tráfico SSH y RDP en la subred. La regla saliente 120 permite que las respuestas salgan de la subred.

La ACL de red tiene reglas salientes (100 y 110) que permiten que el tráfico saliente HTTP y HTTPS salga de la subred. Hay una regla entrante correspondiente que permite las respuestas a ese tráfico saliente (regla entrante 140, que cubre los puertos efímeros 32768-65535).

nota

Cada ACL de red incluye una regla predeterminada cuyo número de regla es un asterisco. Esta regla garantiza que si un paquete no coincide con ninguna de las demás reglas, se denegará. No es posible modificar ni quitar esta regla.

Entrada
Regla n.º Tipo Protocolo Rango de puertos Fuente Permitir/Denegar Comentarios

100

HTTP

TCP

80

0.0.0.0/0

PERMITIR

Permite el tráfico HTTP entrante de cualquier dirección IPv4.

110

HTTPS

TCP

443

0.0.0.0/0

PERMITIR

Permite el tráfico HTTPS entrante de cualquier dirección IPv4.

120

SSH

TCP

22

192.0.2.0/24

PERMITIR

Permite el tráfico SSH entrante del rango de direcciones IPv4 públicas de su red doméstica (a través del puerto de enlace a Internet).

130

RDP

TCP

3389

192.0.2.0/24

PERMITIR

Permite el tráfico RDP entrante a servidores web desde el rango de direcciones IPv4 públicas de su red doméstica (a través del puerto de enlace a Internet).

140

TCP personalizada

TCP

32768-65535

0.0.0.0/0

PERMITIR

Permite el tráfico IPv4 de retorno entrante de Internet (es decir, para solicitudes que se originan en la subred).

Este rango se proporciona solo como ejemplo. Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte Puertos efímeros.

*

Todo el tráfico

Todo

Todos

0.0.0.0/0

DENEGAR

Deniega todo el tráfico IPv4 entrante no controlado por ninguna regla precedente (no modificable).

Salida
Regla n.º Tipo Protocolo Rango de puertos Destino Permitir/Denegar Comentarios

100

HTTP

TCP

80

0.0.0.0/0

PERMITIR

Permite el tráfico HTTP IPv4 saliente de la subred a Internet.

110

HTTPS

TCP

443

0.0.0.0/0

PERMITIR

Permite el tráfico HTTPS IPv4 saliente de la subred a Internet.

120

TCP personalizada

TCP

32768-65535

0.0.0.0/0

PERMITIR

Permite las respuestas IPv4 salientes a clientes de Internet (por ejemplo, al ofrecer páginas web a usuarios que visitan los servidores web de la subred).

Este rango se proporciona solo como ejemplo. Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte Puertos efímeros.

*

Todo el tráfico

Todo

Todos

0.0.0.0/0

DENEGAR

Deniega todo el tráfico IPv4 saliente no controlado por ninguna regla precedente (no modificable).

Cuando un paquete llega a la subred, lo evaluamos según las reglas salientes de la ACL con la que está asociada la subred (comenzando desde la parte superior de la lista de reglas, y desplazándose hasta la parte inferior). A continuación se indica cómo se realiza la evaluación si el paquete está destinado al puerto SSL (443). El paquete no coincide con la primera regla evaluada (regla 100). No coincide con la segunda regla (110), que permite el paquete en la subred. Si el paquete se ha destinado al puerto 139 (NetBIOS), no se le aplica ninguna de las reglas y la regla * termina por rechazarlo.

Puede que desee añadir una regla DENEGAR en el caso en que tenga la necesidad justificada de abrir un amplio rango de puertos, pero hay ciertos puertos en el rango que desea denegar. Asegúrese de colocar la regla DENEGAR en la tabla antes de la regla que permita el rango amplio de tráfico de puerto.

importante

Con Elastic Load Balancing, si la subred de sus instancias del back-end tiene una ACL de red en la que ha añadido una regla DENEGAR para todo el tráfico con un origen de 0.0.0.0/0 o el CIDR de la subred, su balanceador de carga no podrá realizar ninguna comprobación de estado en las instancias. Para obtener más información acerca de las reglas de ACL de red recomendadas para sus balanceadores de carga e instancias del back-end, consulte ACL de red para balanceadores de carga de una VPC en la Guía del usuario de Classic Load Balancers.

La siguiente tabla muestra el mismo ejemplo de una ACL de red personalizada para una VPC que tiene un bloque de CIDR IPv6 asociado. Esta ACL de red incluye reglas para todo el tráfico HTTP y HTTPS IPv6. En este caso, las reglas nuevas se insertaron entre las reglas existentes para el tráfico IPv4; no obstante, también puede añadir las reglas como las reglas de número más alto después de las reglas de IPv4. El tráfico IPv4 y el IPv6 son independientes; no obstante, ninguna de las reglas para el tráfico IPv4 se aplican a las del tráfico IPv6.

Entrada
Regla n.º Tipo Protocolo Rango de puertos Fuente Permitir/Denegar Comentarios

100

HTTP

TCP

80

0.0.0.0/0

PERMITIR

Permite el tráfico HTTP entrante de cualquier dirección IPv4.

105

HTTP

TCP

80

::/0

PERMITIR

Permite el tráfico HTTP entrante de cualquier dirección IPv6.

110

HTTPS

TCP

443

0.0.0.0/0

PERMITIR

Permite el tráfico HTTPS entrante de cualquier dirección IPv4.

115

HTTPS

TCP

443

::/0

PERMITIR

Permite el tráfico HTTPS entrante de cualquier dirección IPv6.

120

SSH

TCP

22

192.0.2.0/24

PERMITIR

Permite el tráfico SSH entrante del rango de direcciones IPv4 públicas de su red doméstica (a través del puerto de enlace a Internet).

130

RDP

TCP

3389

192.0.2.0/24

PERMITIR

Permite el tráfico RDP entrante a servidores web desde el rango de direcciones IPv4 públicas de su red doméstica (a través del puerto de enlace a Internet).

140

TCP personalizada

TCP

32768-65535

0.0.0.0/0

PERMITIR

Permite el tráfico IPv4 de retorno entrante de Internet (es decir, para solicitudes que se originan en la subred).

Este rango se proporciona solo como ejemplo. Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte Puertos efímeros.

145

TCP personalizada TCP 32768-65535 ::/0 PERMITIR

Permite el tráfico IPv6 de retorno entrante de Internet (es decir, para solicitudes que se originan en la subred).

Este rango se proporciona solo como ejemplo. Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte Puertos efímeros.

*

Todo el tráfico

Todo

Todos

0.0.0.0/0

DENEGAR

Deniega todo el tráfico IPv4 entrante no controlado por ninguna regla precedente (no modificable).

*

Todo el tráfico

Todo

Todo

::/0

DENEGAR

Deniega todo el tráfico IPv6 entrante no controlado por ninguna regla precedente (no modificable).

Salida
Regla n.º Tipo Protocolo Rango de puertos Destino Permitir/Denegar Comentarios

100

HTTP

TCP

80

0.0.0.0/0

PERMITIR

Permite el tráfico HTTP IPv4 saliente de la subred a Internet.

105

HTTP

TCP

80

::/0

PERMITIR

Permite el tráfico HTTP IPv6 saliente de la subred a Internet.

110

HTTPS

TCP

443

0.0.0.0/0

PERMITIR

Permite el tráfico HTTPS IPv4 saliente de la subred a Internet.

115

HTTPS

TCP

443

::/0

PERMITIR

Permite el tráfico HTTPS IPv6 saliente de la subred a Internet.

120

TCP personalizada

TCP

32768-65535

0.0.0.0/0

PERMITIR

Permite las respuestas IPv4 salientes a clientes de Internet (por ejemplo, al ofrecer páginas web a usuarios que visitan los servidores web de la subred).

Este rango se proporciona solo como ejemplo. Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte Puertos efímeros.

125

TCP personalizada

TCP

32768-65535

::/0

PERMITIR

Permite las respuestas IPv6 salientes a clientes de Internet (por ejemplo, al ofrecer páginas web a usuarios que visitan los servidores web de la subred).

Este rango se proporciona solo como ejemplo. Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte Puertos efímeros.

*

Todo el tráfico

Todo

Todos

0.0.0.0/0

DENEGAR

Deniega todo el tráfico IPv4 saliente no controlado por ninguna regla precedente (no modificable).

*

Todo el tráfico

Todo

Todo

::/0

DENEGAR

Deniega todo el tráfico IPv6 saliente no controlado por ninguna regla precedente (no modificable).

Puertos efímeros

La ACL de red de ejemplo en la sección anterior utiliza un rango de puertos efímeros de 32768-65535. No obstante, puede que desee utilizar un rango diferente para sus ACL de red, dependiendo del tipo de cliente que esté utilizando o con el que se esté comunicando.

El cliente que inicia la solicitud elige el rango de puertos efímeros. El rango varía en función del sistema operativo del cliente. Muchos kernels de Linux (incluido el de Amazon Linux) utilizan los puertos 32768-61000. Las solicitudes que se originan desde Elastic Load Balancing utilizan los puertos 1024-65535. Los sistemas operativos Windows con Windows Server 2003 utilizan los puertos 1025-5000. Windows Server 2008 y las versiones posteriores utilizan los puertos 49152-65535. Una gateway NAT utiliza los puertos 1024-65535. Por ejemplo, si una solicitud llega a un servidor web en su VPC desde un cliente de Windows XP en Internet, su ACL de red deberá tener una regla saliente para permitir el tráfico destinado a los puertos 1025-5000.

Si una instancia de su VPC es el cliente que inicia una solicitud, su ACL de red deberá tener una regla entrante para permitir el tráfico destinado a los puertos efímeros específicos del tipo de instancia (Amazon Linux, Windows Server 2008, etc.).

En la práctica, para cubrir los distintos tipos de clientes que pueden iniciar tráfico a instancias públicas en su VPC, puede abrir los puertos efímeros 1024-65535. Sin embargo, también puede añadir reglas a la ACL para denegar tráfico en puertos malintencionados en ese rango. Asegúrese de colocar las reglas DENEGAR en la tabla antes de las reglas PERMITIR que abren el amplio rango de puertos efímeros.

Uso de ACL de red

Las siguientes tareas muestran cómo usar las ACL de red con la consola de Amazon VPC.

Determinación de asociaciones de ACL de red

Puede utilizar la consola de Amazon VPC para determinar la ACL de red asociada a una subred. Las ACL de red se pueden asociar a más de una subred, de modo que también puede determinar las subredes asociadas a una ACL de red.

Para determinar qué ACL de red está asociada a una subred

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.

    La ACL de red asociada a la subred se incluye en la pestaña Network ACL, junto con las reglas de la ACL de red.

Para determinar qué subredes están asociadas a una ACL de red

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Network ACLs. La columna Associated With indica el número de subredes asociadas a cada ACL de red.

  3. Seleccione una ACL de red.

  4. En el panel de detalles, elija Subnet Associations para mostrar las subredes asociadas a la ACL de red.

Creación de una ACL de red

Puede crear una ACL de red personalizada para su VPC. De forma predeterminada, una ACL de red que cree bloqueará todo el tráfico entrante y saliente hasta que añada reglas, y no se asociará a ninguna subred hasta que le asocie una de forma explícita.

Para crear una regla ACL de red

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Network ACLs.

  3. Elija Create Network ACL.

  4. En el cuadro de diálogo Create Network ACL, puede asignar, de forma opcional, un nombre a su ACL de red, y luego seleccionar el ID de su VPC en la lista VPC y elegir Yes, Create.

Adición y eliminación de reglas

Al añadir o eliminar una regla de una ACL, las subredes asociadas a la ACL estarán sujetas a ese cambio. No tiene que terminar ni relanzar las instancias de la subred; los cambios se aplicarán tras un breve periodo.

Si va a utilizar la API de Amazon EC2 o una herramienta de línea de comandos, no podrá modificar reglas; solo podrá añadirlas y eliminarlas. Si utiliza la consola de Amazon VPC, puede modificar las entradas de las reglas existentes (la consola quita la regla y añade una nueva regla). Si necesita cambiar el orden de una regla en la ACL, deberá añadir una regla nueva con el número de la regla nueva, y luego eliminar la regla original.

Para añadir reglas a una ACL de red

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Network ACLs.

  3. En el panel de detalles, elija la pestaña Inbound Rules o Outbound Rules, según el tipo de regla que necesite añadir, y luego elija Edit.

  4. En Rule #, escriba un número de regla (por ejemplo, 100). El número de regla no debe estar ya en uso en la ACL de red. Las reglas se procesan por orden, empezando por el número más bajo.

    sugerencia

    Recomendamos dejar espacios entre los números de regla (como 100, 200, 300), en lugar de utilizar números secuenciales, (101, 102, 103). Esto le facilitará el añadir reglas nuevas sin tener que reenumerar las existentes.

  5. Seleccione una regla de la lista Type. Por ejemplo, para añadir una regla para HTTP, elija HTTP. Para añadir una regla para permitir todo el tráfico TCP, elija All TCP. Para algunas de estas opciones (por ejemplo, HTTP), completaremos el puerto por usted. Para utilizar un protocolo que no aparezca en la lista, elija Custom Protocol Rule.

  6. (Opcional) Si va a crear una regla de protocolo personalizada, seleccione el número de protocolo y asígnele un nombre en la lista Protocol. Para obtener más información, consulte IANA List of Protocol Numbers.

  7. (Opcional) Si el protocolo que ha seleccionado requiere un número de puerto, escriba el número de puerto o el rango de puertos separados por un guion (por ejemplo, 49152-65535).

  8. En el campo Source o Destination (en función de si se trata de una regla entrante o saliente), escriba el rango de CIDR al que se aplica la regla.

  9. En la lista Allow/Deny, seleccione ALLOW para permitir el tráfico especificado, o DENY para denegar el tráfico especificado.

  10. (Opcional) Para añadir otra regla, elija Add another rule y repita los pasos del 4 al 9 según sea necesario.

  11. Cuando haya terminado, elija Save.

Para eliminar una regla de una ACL de red

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.

  3. En el panel de detalles, seleccione la pestaña Inbound Rules o Outbound Rules y, a continuación, elija Edit. Elija Remove para la regla que desea eliminar y, a continuación, elija Save.

Asociación de una subred a una ACL de red

Para aplicar las reglas de una ACL de red a una subred en particular, debe asociar la subred a la ACL de red. Puede asociar una ACL de red a varias subredes; sin embargo, una subred solo se puede asociar a una ACL de red. Las subredes no asociadas a una ACL concreta se asociarán automáticamente a la ACL de red predeterminada.

Para asociar una subred a una ACL de red

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.

  3. En el panel de detalles, en la pestaña Subnet Associations, elija Edit. Active la casilla de verificación Associate para la subred que desee asociar a la ACL de red y, a continuación, elija Save.

Anulación de la asociación de una ACL de red a una subred

Puede anular la asociación de una ACL de red personalizada a una subred; al hacerlo, la subred se asociará automáticamente a la ACL de red predeterminada.

Para anular la asociación de una subred a una ACL de red

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.

  3. En el panel de detalles, elija la pestaña Subnet Associations.

  4. Elija Edit y anule la selección de la casilla de verificación Associate para la subred. Seleccione Save (Guardar).

Cambio de la ACL de red de una subred

Puede cambiar la ACL de red asociada a una subred. Por ejemplo, al crear una subred, esta se asocia inicialmente a la ACL de red predeterminada. Puede que desee, en su lugar, asociarla a una ACL de red personalizada que ha creado.

Después de cambiar la ACL de red de una subred, no tiene que terminar ni relanzar las instancias de la subred; los cambios se aplicarán tras un breve periodo.

Para cambiar la asociación de una ACL de red a una subred

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.

  3. Elija la pestaña Network ACL y, a continuación, elija Edit.

  4. Seleccione la ACL de red que desea asociar a la subred de la lista Change to y, a continuación, elija Save.

Eliminación de una ACL de red

La ACL de red solo se puede eliminar si no tiene subredes asociadas. La ACL de red predeterminada no se puede eliminar.

Para eliminar una ACL de red

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Network ACLs.

  3. Seleccione la ACL de red y elija Delete.

  4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Ejemplo: control del acceso a las instancias en una subred

En este ejemplo, las instancias de su subred se pueden comunicar entre sí, y se puede obtener acceso a ellas desde un equipo remoto de confianza. El equipo remoto puede ser un equipo en su red local o una instancia en una subred o VPC diferentes que utilice para conectarse a sus instancias para realizar tareas administrativas. Las reglas de su grupo de seguridad y de ACL de red permiten el acceso desde la dirección IP de su equipo remoto (172.31.1.2/32). El resto del tráfico de Internet u otras redes se deniega.


          Utilización de un grupo de seguridad y una NACL

Todas las instancias utilizan el mismo grupo de seguridad (sg-1a2b3c4d), con las reglas siguientes.

Reglas entrantes
Tipo de protocolo Protocolo Rango de puertos Fuente Comentarios
Todo el tráfico Todo Todo sg-1a2b3c4d Permite que las instancias asociadas al mismo grupo de seguridad se comuniquen entre sí.
SSH TCP 22 172.31.1.2/32 Permite al SSH entrante obtener acceso desde el equipo remoto. Si la instancia es un equipo de Windows, esta regla debe utilizar el protocolo RDP para el puerto 3389 en su lugar.
Reglas salientes
Tipo de protocolo Protocolo Rango de puertos Destino Comentarios
Todo el tráfico Todo Todo sg-1a2b3c4d Permite que las instancias asociadas al mismo grupo de seguridad se comuniquen entre sí.

La subred está asociada a una ACL de red con las siguientes reglas:

Reglas entrantes
Regla n.º Tipo Protocolo Rango de puertos Fuente Permitir/Denegar Comentarios
100 SSH TCP 22 172.31.1.2/32 PERMITIR Permite al tráfico entrante obtener acceso desde el equipo remoto. Si la instancia es un equipo de Windows, esta regla debe utilizar el protocolo RDP para el puerto 3389 en su lugar.
* Todo el tráfico Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el resto de tráfico entrante que no coincida con la regla anterior.
Reglas salientes
Regla n.º Tipo Protocolo Rango de puertos Destino Permitir/Denegar Comentarios
100 TCP personalizada TCP 1024 - 65535 172.31.1.2/32 PERMITIR Permite las respuestas salientes al equipo remoto. Las ACL de red son sin estado, por lo que esta regla es necesaria para permitir el tráfico de respuesta para solicitudes entrantes.
* Todo el tráfico Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el resto del tráfico saliente que no coincida con la regla anterior.

Este escenario le proporciona la flexibilidad necesaria para cambiar los grupos de seguridad o las reglas de grupos de seguridad de sus instancias, así como para tener la ACL de red como capa de copia de seguridad de defensa. Las reglas de ACL de red se aplican a todas las instancias de la subred, por lo que, en caso de crear por error reglas de grupos de seguridad demasiado permisivas, las reglas de ACL de red seguirán permitiendo el acceso solo desde la dirección IP única. Por ejemplo, las siguientes reglas son más permisivas que las reglas anteriores: permiten el acceso al SSH entrante desde cualquier dirección IP.

Reglas entrantes
Tipo Protocolo Rango de puertos Fuente Comentarios
Todo el tráfico Todo Todo sg-1a2b3c4d Permite que las instancias asociadas al mismo grupo de seguridad se comuniquen entre sí.
SSH TCP 22 0.0.0.0/0 Permite el acceso al SSH desde cualquier dirección IP.
Reglas salientes
Tipo Protocolo Rango de puertos Destino Comentarios
Todo el tráfico Todo Todos 0.0.0.0/0 Permite todo el tráfico saliente.

Sin embargo, solo las demás instancias en la subred y su equipo remoto podrán obtener acceso a esta instancia. Las reglas de ACL de red siguen impidiendo todo el tráfico entrante a la subred, excepto desde su equipo remoto.

Información general de API y comandos

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtener más información acerca de las interfaces de la línea de comandos, junto con una lista de API disponibles, consulte Acceso a Amazon VPC.

Creación de una ACL de red para su VPC

Descripción de una o varias de sus ACL de red

Adición de una regla a una ACL de red

Eliminación de una regla de una ACL de red

Sustitución de una regla existente en una ACL de red

Sustitución de una asociación de ACL de red

Eliminación de una ACL de red