问题标签 [network-security-groups]

我的 NetMq 服务器应用程序正在侦听端口 5556，并且我在 Azure 门户中定义了以下入站规则...

出站规则是...

客户通过互联网进来。

在尝试正确设置 Azure 配置时，我暂时关闭了测试 VM 上的防火墙。

入站规则看起来是否正确？

在出站一侧；源标签应该设置为什么？屏幕截图显示源标签设置为“Internet”，但我已经尝试将源标签设置为任何，但它仍然无法正常工作。

谢谢！

我试图让我的 lambda 连接到 Postgres RDS。我的 lambda 和我的 postgres 实例位于同一个 VPC 和私有子网上。

在我的 lambda 上，我定义了一个安全组，如下所示： Name: default-security-group ingress: Allow all traffic from security group - default-security-group egress: Allow all traffic on all ports out to all IPs 0.0.0.0/0

在我的 RDS 上，我定义了一个安全组，如下所示： Name: rds-security-group ingress: All traffic on port 5432 from security group - default-security-group egress: Allow all traffic on all ports to all Ips 0.0.0.0/0

使用上述设置，我无法从 Lambda 连接到我的 RDS 实例。在玩了很多之后，只有当我更改我的 RDS 安全组以允许来自安全组 default-security-group 的所有端口时，它才起作用。

意思， ingress: All traffic on port 5432 from security group - default-security-group 改为 ingress: All traffic on all ports from security group - default-security-group

我的问题是为什么我需要允许所有端口才能进行这项工作？

我刚刚设置了一个 EC-2 实例，并且在我添加了一个安全组之后，它允许所有 Ips (0.0.0.0/0) 和所有入站和出站流量。然而，我无法ping通它的公共地址，我也不知道为什么。

上周，按照相同的程序，我能够做到这一点，这让我感到困惑。

我怎样才能更深入地解决这个问题？

谢谢！

我正在尝试在 Azure 上配置服务器代码 2016 VM，以允许从远程服务器（Azure 之外）上的 IIS 进行访问 - 我一直在关注此处和此处的文档。

当我尝试从 IIS 连接到 Azure servercore 服务器（文件、连接到服务器、提供服务器名称/端口和凭据）时，我收到以下错误：“无法连接到指定的计算机。详细信息：无法连接到远程服务器”

我已经按照我一直遵循的步骤中的说明添加了防火墙规则，但没有成功。我相信这可能是一个安全组问题，但 Web 搜索却一片空白——我无法找到任何关于将 IIS 连接到 Azure 上的 VM 以允许 Web 服务器管理的任何内容。

任何帮助都将不胜感激，最好是通过简单的步骤 - 我是一名程序员，他的 devops 任务交给了他，因此对 Azure 的机制和术语了解甚少！

谢谢！

看起来您现在可以设置安全组规则描述了。这对于维护管理访问的白名单非常有用。

我可以在 AWS 控制台中设置描述，但不知道如何使用 Terraform 进行设置。

我的假设是，如果 AWS API 允许，Terraform 可以在没有在 Terraform 代码中明确支持的情况下执行此操作。也许这是一厢情愿，我们将不得不等待 Terraform 支持新功能，或者也许我做错了。

我尝试在规则声明中简单地声明 description 属性（就像您对安全组本身的描述一样）：

Terraform 在计划阶段保释：

aws_security_group.somegroup：ingress.0：无效或未知密钥：描述

我还尝试在规则声明中设置标签（就像设置安全组的名称一样）：

Terraform 在计划阶段保释：

aws_security_group.somegroup：ingress.0：无效或未知密钥：标签

我在子网级别引入了一个 NSG，它需要允许来自其他 azure vm 的流量并阻止来自 Internet 的其余流量。其他虚拟机可能在同一个 vnet 中，也可能不在。但是我使用公共 IP 来建立 vm 之间的连接。有什么方法可以通过我的订阅获得公共 IP 范围。

如果这可以使用其他替代方法完成，请提出建议。

我正在尝试将对虚拟机上端点的访问限制为特定的外部 IP 地址。经过调查，我发现 Azure 上的网络安全组可能是合适的。我创建了一个网络安全组并将其附加到我的虚拟网络的子网中。

然后我创建了这两条规则，我认为它们只允许通过一个指定的 IP 地址进行访问：

规则如下：

但是，当我尝试从指定的 IP 地址访问端点时，我似乎被阻止了。有谁知道我是否忘记了一步或做错了什么。NSG 阻止访问，但我似乎无法让白名单工作。

我检查了 NSG 日志，但不幸的是我无法检查源 IP 地址是什么。也许源 IP 地址可能在管道中的某个地方发生了变化，并且在它达到 NSG 规则之前就发生了变化。

我在 Azure 中创建了一个网络安全组，以阻止与某些端点的外部连接。我添加了几条规则来执行此操作。

目前，规则允许一个列入白名单的 IP 访问所有端口，而另一个列入白名单的端口仅访问两个特定端口。我的规则如下：

• 来源：IP 地址
• 源IP地址范围：XX.XXX.XXX.XX
• 源端口范围：*
• 目的地： *
• 目的端口范围：*
• 协议：任何
• 动作允许
• 优先级：1000

• 名称：允许所有

  ---

• 来源：IP 地址

• 源IP地址范围：YY.YYY.YY.YY
• 源端口范围：*
• 目的地： *
• 目的端口范围：1234
• 协议：任何
• 动作允许
• 优先级：200

• 名称：Allow-Cus1-1234

  ---

• 来源：IP 地址

• 源IP地址范围：YY.YYY.YY.YY
• 源端口范围：*
• 目的地： *
• 目的端口范围：4321
• 协议：任何
• 动作允许
• 优先级：199
• 名称：Allow-Cus1-4321

  ---

这按预期工作，我们能够访问我们所有的端点，并且另一个 IP 的用户能够访问他们有权访问的两个端口（1234 和 4321）。但是，当我想将这两个端口打开到其他其他 IP 地址时，就会出现问题。我添加了另外两个规则，如下所示：

• 来源：IP 地址
• 源IP地址范围：ZZ.ZZZ.ZZ.ZZ
• 源端口范围：*
• 目的地： *
• 目的端口范围：1234
• 协议：任何
• 动作允许
• 优先级：198

• 名称：Allow-Cus2-1234

  ---

• 来源：IP 地址

• 源IP地址范围：ZZ.ZZZ.ZZ.ZZ
• 源端口范围：*
• 目的地： *
• 目的端口范围：4321
• 协议：任何
• 动作允许
• 优先级：197
• 名称：Allow-Cus2-4321

  ---

我认为这会奏效，但似乎不行。那么有谁知道我是否错过了一步或忘记在规则中添加任何重要信息？我的理论是，类似的规则在某种程度上是相互冲突的。

有谁知道是否可以将多个 IP 添加到网络安全组中的同一入站规则？

我们使用 Kubernetes 和 Azure 作为云提供商。我的问题的相关设置是我们有一个负载均衡器和一个连接到所有工作虚拟机的网络安全组。所以基本上每次我创建服务时，它都会在 LoadBalaner 前端 IP 配置中创建一条记录，并在具有指定目标端口和源 IP 地址的网络安全组中添加一条规则（限制它可以从哪个源 IP 访问哪个端口中的 VM .)

这个设置的问题是，如果我有一个使用对公共 IP 开放的端口 5000 的服务，以及另一个也使用端口 5000 但只对特定 IP 开放的服务，那么这两个服务实际上都对公共 IP 开放，因为 NSG 规则是相加的。请注意，此处的 5000 端口号并不代表实际的 VM 节点端口（尽管 Azure 是这么认为的），因为它由每台机器中的 kube-proxy 负责，它将流量发送到具有相应节点端口的正确 VM。这就是为什么让两个服务使用相同的端口并设置不同的入口规则是有意义的。

有什么办法可以缓解这个问题吗？我想不出任何架构设置可以处理具有相同目标端口的多个服务的不同入口规则。

谢谢

我在 azure 上有一个 Linux VM，我可以使用 SSH 访问它而没有任何问题。我需要从外部访问另一个端口（比如说 7077），这是我到目前为止所做的，但无法建立连接

1. 从网络设置创建入站规则，它在连接到网络接口的网络安全组上创建规则。

2. 添加了一个新的网络安全组，将其附加到子网

如果我在端口 22 上执行 netcat 请求，我会成功连接，但对于端口 7077，我会被拒绝连接。

还具有端口的 IP 流验证通过

任何指针都会有所帮助。