はい、3ぃさんです!
年末が近づいてきましたね
年末年始、なんか美味しいもの食べに行きたいけど
年末年始ってお店全然やってなくて悲しい思いをするんだよね。。。
観光しに行ったのに、お店やってないとか、、
年末年始って稼ぎどきじゃないんだっ!!ってならん?
3ぃさんが昔働いてたバーが
31日から1日にかけて開けてたからそのイメージがあるせいなのもあるかも。。。
開いてるお店で美味しいお店探しとかもしたいなぁ
というところで、勉強していくよ!
学んだこと
ネットワークACLを触っていくよ
作成した4つのサブネットに紐づくネットワークACLについてチェックを入れて
詳細を確認すると
インバウンドルールと
アウトバウンドルールが確認できる
いずれも100番ですべてのトラフィックを許可していることがわかる
これがデフォルトの状態になる
これを編集したりして設定を入れていくこともできるけど
新しく作成してみるよ
ネットワークACL作成
ネットワークACLの一覧から「ネットワークACLを作成」を押下
ネットワークACL作成の画面に遷移するため
名前を入力し、VPCを選択して「ネットワークACLを作成」を押下
新しく作成したネットワークACLのインバウンドルールと
アウトバウンドルールを確認すると
デフォルトで作成されたネットワークACLと違って
すべて許可の設定が入っていない(すべて拒否になっている)ことがわかる
インバウンドルールの編集
「インバウンドルール」タブを選択した状態で
「インバウンドルールを編集」を押下すると
編集画面に遷移するため
「新しいルールを追加」を押下する
有名どころはタイプから一覧で選べるようになっている
今回はSSHの許可を入れていく
ルール番号に「100」
タイプに「SSH(22)」を選択すると
自動でプロトコルとポート範囲が入力されるのを確認する
送信元はすべてを許可する「0.0.0.0/0」として
許可か拒否かを選択できる
セキュリティグループには拒否はなかったけど
ネットワークACLはどちらか選べるんでした
さらに「新しいルールを追加」を押下して
以下のように設定を追加する
設定が問題ないことを確認して「変更を保存」を押下
インバウンドルールに設定が反映されていることを確認できる
アウトバウンドルールの設定
セキュリティグループであれば
インバウンドルールだけを設定すればアウトバウンドルールも同時に同じ許可設定になるが
ネットワークACLは両面許可していかなければならないので許可をしていくよ
アウトバウンドルールタブを押下して
「アウトバウンドルールを編集」を押下
アウトバウンドルールを編集の画面に遷移するので
「新しいルールを追加」を押下して、インバウンドルールと同様の設定を入れていくよ
設定を入れたら「変更を保存」を押下
無事変更されたことを確認できる
これで、このネットワークACLの範囲内であれば
SSHとHTTP、HTTPSの通信ができるようになっているよ
サブネットの関連付け
インバウンドルールとアウトバウンドルールの設定は入れたものの
作りたてのネットワークACLで何も制限していない状態なので
サブネットを関連付けていく作業をやるよ
サブネットの関連付けタブを押下し
「サブネットの関連付けを編集」を押下する
サブネットの関連付けを編集の画面に遷移するため
これまで作った4つのサブネットがあるので4つとも選択
「変更を保存」を押下
元々、4つのサブネットが紐づいてたネットワークACLからサブネットが外れて
今回追加した方にサブネットが追加されていることがわかる
エフェメラルポートの設定を忘れない
これで概ねの設定は完了したけど
前回学んだエフェメラルポートの部分を設定追加しないと
自分のパソコンから直接通信ができなくなってしまうので設定を入れていくよ
アウトバウンドルールタブから「アウトバウンドルールを編集」を押下
タイプは「カスタムTCP」として
ポート範囲を「1024-65535」と広い範囲で設定して
「変更を保存」を押下
これで設定は以上!
理解したこと、気付いたこと
前回の復習を画面を見ながらすることができた
ネットワークACLはセキュリティグループと違い
許可と拒否両方の設定ができることや
入ってくるトラフィックへの設定(インバウンドルール)と
出ていくトラフィックの設定(アウトバウンドルール)の両方する必要があること
自分が実際にAWSコンソールからではなく、自分のパソコンからのアクセスをするにあたって
エフェメラルポートの設定をする必要があることがわかった
また、通信のタイプを選択するときによく使われるポートの組み合わせは自動になっているため
間違えにくことがわかった
まとめ
ネットワークACLの設定の方法を学んだよ
デフォルトで作成されるネットワークACLは
ネットワークACLのことを知らない人が使っても困らないように
すべて許可の設定になっていそうだったよ
反対に新しくネットワークACLを作成するとすべて許可の設定になっていないため
追加で許可を入れる必要があるよ
ネットワークACLに許可や拒否の設定を入れる際には
インバウンドルールとアウトバウンドルールの両方を設定する必要があるよ
自分のPCへの通信も考慮してアウトバウンドルールに設定が必要だよ
次回は、NATゲートウェイをやっていくよ
んでわ
コメント