Gestion des ports de pare-feu pour les ordinateurs virtuels Lightsail for Research

Un pare-feu dans Amazon Lightsail for Research contrôle le trafic autorisé à se connecter à votre ordinateur virtuel. Vous ajoutez des règles au pare-feu de votre ordinateur virtuel qui spécifient le protocole, les ports, ainsi que la source IPv4 ou les IPv6 adresses autorisées à s'y connecter. Les règles de pare-feu sont toujours permissives ; vous ne pouvez pas créer de règles qui refusent l'accès. Vous ajoutez des règles au pare-feu de votre ordinateur virtuel pour autoriser le trafic à atteindre votre ordinateur virtuel. Chaque ordinateur virtuel possède deux pare-feux, l'un pour les IPv4 adresses et l'autre pour les IPv6 adresses. Les deux pare-feux sont indépendants l'un de l'autre et contiennent un ensemble préconfiguré de règles qui filtrent le trafic entrant dans l'instance.

Protocoles

Un protocole est le format dans lequel les données sont transmises entre deux ordinateurs. Vous pouvez spécifier les protocoles suivants dans une règle de pare-feu :

• Le protocole TCP (Transmission Control Protocol) est principalement utilisé pour établir et maintenir une connexion entre des clients et l'application en cours d'exécution sur votre ordinateur virtuel. Il s'agit d'un protocole largement utilisé, que vous pouvez souvent spécifier dans vos règles de pare-feu.

• Le protocole UDP (User Datagram Protocol) est principalement utilisé pour établir des connexions à faible latence et à tolérance de pertes entre les clients et l'application en cours d'exécution sur votre ordinateur virtuel. Son utilisation idéale est pour les applications de réseau dans lesquelles la latence perçue est essentielle, comme les jeux, les communications vocales et vidéo.

• Leprotocole ICMP (Internet Control Message Protocol) est principalement utilisé pour diagnostiquer les problèmes de communication réseau ; par exemple, pour déterminer si les données atteignent leur destination prévue en temps opportun. Son utilisation idéale est pour l'utilitaire Ping, que vous pouvez utiliser pour tester la vitesse de connexion entre votre ordinateur local et votre ordinateur virtuel. Il indique le temps nécessaire pour que les données atteignent votre ordinateur virtuel et reviennent sur votre ordinateur local.

• Tout est utilisé pour permettre à tout le trafic de protocole de circuler dans votre ordinateur virtuel. Spécifiez ce paramètre lorsque vous n'êtes pas sûr du protocole à spécifier. Cela inclut tous les protocoles Internet, pas seulement ceux spécifiés ici. Pour de plus amples informations, veuillez consulter les numéros des protocoles sur le site Internet de l'IANA (Internet Assigned Numbers Authority).

Ports

Comme les ports physiques de votre ordinateur, qui permettent à celui-ci de communiquer avec des périphériques comme votre clavier et votre pointeur, les ports pare-feu servent de points de terminaison de communication Internet pour votre ordinateur virtuel. Lorsqu'un client cherche à se connecter avec votre ordinateur virtuel, il expose un port pour établir la communication.

Les ports que vous pouvez spécifier dans une règle de pare-feu peuvent aller de 0 à 65535. Lorsque vous créez une règle de pare-feu pour permettre à un client d'établir une connexion avec votre ordinateur virtuel, vous spécifiez le protocole à utiliser. Vous spécifiez également les numéros de port par lesquels la connexion peut être établie et les adresses IP qui sont autorisées à établir une connexion.

Les ports suivants sont ouverts par défaut pour les ordinateurs virtuels nouvellement créés.

• TCP

  • 22 : utilisé pour Secure Shell (SSH).

  • 80 : utilisé pour le protocole de transfert hypertexte (HTTP).

  • 443 : utilisé pour le protocole de transfert hypertexte sécurisé (HTTPS).

  • 8 443 : utilisé pour le protocole de transfert hypertexte sécurisé (HTTPS).

Pourquoi ouvrir et fermer des ports

Lorsque vous ouvrez des ports, vous autorisez un client à établir une connexion avec votre ordinateur virtuel. Lorsque vous fermez des ports, vous bloquez les connexions à votre ordinateur virtuel. Par exemple, pour autoriser un client SSH à se connecter à votre ordinateur virtuel, vous configurez une règle de pare-feu qui autorise le protocole TCP sur le port 22 uniquement à partir de l'adresse IP de l'ordinateur qui doit établir une connexion. Dans ce cas, vous ne souhaitez autoriser aucune adresse IP à établir une connexion SSH avec votre ordinateur virtuel. Cela pourrait entraîner un risque de sécurité. Si cette règle est déjà configurée sur le pare-feu de votre instance, vous pouvez la supprimer pour empêcher le client SSH de se connecter à votre ordinateur virtuel.

Les procédures suivantes vous montrent comment obtenir les ports actuellement ouverts sur votre ordinateur virtuel, ouvrir de nouveaux ports et fermer des ports.

Remplir les conditions préalables

Remplissez les conditions préalables suivantes avant de démarrer.

• Créez un ordinateur virtuel dans Lightsail for Research. Pour de plus amples informations, veuillez consulter Création d'un ordinateur virtuel Lightsail for Research.

• Téléchargez et installez le AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez Installation ou mise à jour de la version la plus récente d' AWS CLI (français non garanti) dans le Guide de l'utilisateur AWS Command Line Interface pour la version 2.

• Configurez le AWS CLI pour accéder à votre Compte AWS. Pour plus d'informations, consultez Principes de base de la configuration (français non garanti) dans le Guide de l'utilisateur AWS Command Line Interface pour la version 2.

Obtenir l'état des ports d'un ordinateur virtuel

Suivez la procédure ci-dessous pour obtenir l'état du port d'un ordinateur virtuel. Cette procédure utilise la get-instance-port-states AWS CLI commande pour obtenir l'état des ports de pare-feu d'un ordinateur virtuel Lightsail for Research spécifique, les adresses IP autorisées à se connecter à l'ordinateur virtuel via les ports et le protocole. Pour plus d’informations, consultez get-instance-port-states dans la Référence des commandes de l’AWS CLI .

1. Cette étape dépend du système d'exploitation de votre ordinateur local.

   • Si votre ordinateur local utilise un système d'exploitation Windows, ouvrez une fenêtre d'invite de commande.

   • Si votre ordinateur local utilise un système d'exploitation basé sur Linux ou Unix (y compris macOS), ouvrez une fenêtre de terminal.

2. Saisissez la commande suivante pour obtenir les états des ports du pare-feu ainsi que les adresses IP et les protocoles autorisés. Dans la commande, remplacez REGION par le code de la région AWS dans laquelle l'ordinateur virtuel a été créé, tel que us-east-2. Remplacez NAME par le nom de votre ordinateur virtuel.

   aws lightsail get-instance-port-states --region REGION --instance-name NAME

   Exemple

   aws lightsail get-instance-port-states --region us-east-2 --instance-name MyUbuntu

   La réponse affichera les ports et protocoles ouverts, ainsi que les plages d'adresses IP au format CIDR autorisées à se connecter à votre ordinateur virtuel.

   

   Pour plus d'informations sur l'ouverture des ports, passez à la section suivante.

Ouvrir des ports pour un ordinateur virtuel

Suivez la procédure suivante pour ouvrir les ports d'un ordinateur virtuel. Cette procédure utilise la open-instance-public-ports AWS CLI commande. Ouvrez des ports de pare-feu pour permettre l'établissement de connexions à partir d'une adresse IP fiable ou d'une plage d'adresses IP. Par exemple, pour autoriser l'adresse IP 192.0.2.44, spécifiez 192.0.2.44 ou 192.0.2.44/32. Pour autoriser les adresses IP 192.0.2.0 à 192.0.2.255, spécifiez 192.0.2.0/24. Pour plus d’informations, consultez open-instance-public-ports dans la Référence des commandes de l’AWS CLI .

1. Cette étape dépend du système d'exploitation de votre ordinateur local.

   • Si votre ordinateur local utilise un système d'exploitation Windows, ouvrez une fenêtre d'invite de commande.

   • Si votre ordinateur local utilise un système d'exploitation basé sur Linux ou Unix (y compris macOS), ouvrez une fenêtre de terminal.

2. Saisissez la commande suivante pour ouvrir les ports.

   Dans la commande, remplacer les éléments suivants :

   • REGIONRemplacez-le par le code de la AWS région dans laquelle l'ordinateur virtuel a été créé, tel queus-east-2.

   • Remplacez NAME par le nom de votre ordinateur virtuel.

   • Remplacez FROM-PORT par le premier port d'une série de ports que vous souhaitez ouvrir.

   • Remplacez PROTOCOL par le nom du protocole IP. Par exemple, TCP.

   • Remplacez TO-PORT par le dernier port d'une série de ports que vous souhaitez ouvrir.

   • Remplacez IP par l'adresse IP ou la plage d'adresses IP que vous souhaitez autoriser à vous connecter à votre ordinateur virtuel.

   aws lightsail open-instance-public-ports --region REGION --instance-name NAME --port-info fromPort=FROM-PORT, protocol=PROTOCOL, toPort=TO-PORT,cidrs=IP

   Exemple

   aws lightsail open-instance-public-ports --region us-east-2 --instance-name MyUbuntu --port-info fromPort=22, protocol=TCP, toPort=22,cidrs=192.0.2.0/24

   La réponse affichera les ports, protocoles et plages d'adresses IP sur le format CIDR récemment ajoutés qui sont autorisés à se connecter à votre ordinateur virtuel.

   

   Pour plus d'informations sur la fermeture des ports, passez à la section suivante.

Fermer les ports d'un ordinateur virtuel

Suivez la procédure suivante pour fermer les ports d'un ordinateur virtuel. Cette procédure utilise la close-instance-public-ports AWS CLI commande. Pour plus d’informations, consultez close-instance-public-ports dans la Référence des commandes de l’AWS CLI .

1. Cette étape dépend du système d'exploitation de votre ordinateur local.

   • Si votre ordinateur local utilise un système d'exploitation Windows, ouvrez une fenêtre d'invite de commande.

   • Si votre ordinateur local utilise un système d'exploitation basé sur Linux ou Unix (y compris macOS), ouvrez une fenêtre de terminal.

2. Saisissez la commande suivante pour fermer les ports.

   Dans la commande, remplacer les éléments suivants :

   • REGIONRemplacez-le par le code de la AWS région dans laquelle l'ordinateur virtuel a été créé, tel queus-east-2.

   • Remplacez NAME par le nom de votre ordinateur virtuel.

   • Remplacez FROM-PORT par le premier port d'une série de ports que vous souhaitez fermer.

   • Remplacez PROTOCOL par le nom du protocole IP. Par exemple, TCP.

   • Remplacez TO-PORT par le dernier port d'une série de ports que vous souhaitez fermer.

   • Remplacez IP par l'adresse IP ou la plage d'adresses IP que vous souhaitez supprimer.

   aws lightsail close-instance-public-ports --region REGION --instance-name NAME --port-info fromPort=FROM-PORT, protocol=PROTOCOL, toPort=TO-PORT,cidrs=IP

   Exemple

   aws lightsail close-instance-public-ports --region us-east-2 --instance-name MyUbuntu --port-info fromPort=22, protocol=TCP, toPort=22,cidrs=192.0.2.0/24

   La réponse affichera les ports, les protocoles et les plages d'adresses IP sur format CIDR qui ont été fermés et ne sont plus autorisés à se connecter à votre ordinateur virtuel.

   

Passer aux étapes suivantes

Vous pouvez effectuer les étapes supplémentaires suivantes après avoir géré avec succès les ports de pare-feu de votre ordinateur virtuel :

• Obtenez la paire de clés de votre ordinateur virtuel. Avec la paire de clés, vous pouvez établir une connexion à l'aide de nombreux clients SSH, tels qu'OpenSSH, PuTTY et Windows Subsystem for Linux. Pour de plus amples informations, veuillez consulter Obtenez une paire de clés pour un ordinateur virtuel Lightsail for Research.

• Connectez-vous à votre ordinateur virtuel via SSH pour le gérer à l'aide de la ligne de commande. Pour de plus amples informations, veuillez consulter Transférez des fichiers vers des ordinateurs virtuels Lightsail for Research à l'aide de Secure Copy.

• Connectez-vous à votre ordinateur virtuel à l'aide de SCP pour transférer des fichiers en toute sécurité. Pour de plus amples informations, veuillez consulter Transférez des fichiers vers des ordinateurs virtuels Lightsail for Research à l'aide de Secure Copy.