Tôi đang cố khóa các cổng trên mạng con của mình và đang gặp sự cố với phiên bản nginx mà tôi đang chạy trên ECS.
Lưu lượng truy cập vào hệ thống trên :443 tới một ELB, nó định tuyến một số trong số đó tới một phiên bản nginx chạy trên ECS, cái này proxy_pass-es nó vào một địa chỉ www bên ngoài.
Nginx được đặt thành proxy_pass thành một tên miền và nó đang sử dụng cấu hình trình phân giải nginx: trình phân giải 8.8.8.8 ipv6=tắt hợp lệ=10 giây để giải quyết điều đó thành một địa chỉ IP. IP không phải là tĩnh, vì vậy tôi phải làm điều này.
Tuy nhiên, khi tôi áp dụng acl mạng của mình, mọi thứ đều hoạt động ngoại trừ độ phân giải dns này. Nginx trả về phản hồi Bad Gateway phàn nàn rằng tên miền của tôi không thể giải quyết được (110: Thao tác đã hết thời gian chờ).
Mạng acl được thiết lập để cho phép tất cả lưu lượng truy cập ra đối với tất cả các giao thức, nhưng giới hạn lưu lượng truy cập vào đối với một nhóm cổng cụ thể.
Tôi đã thử thêm 53 (UDP và TCP) vào quy tắc gửi đến, nhưng độ phân giải vẫn không thành công.
Điều quan trọng cần lưu ý là nếu tôi cho phép tất cả lưu lượng truy cập vào thì độ phân giải dns sẽ hoạt động.
Câu hỏi của tôi là:
- Tôi cần làm gì để trình phân giải nginx hoạt động khi acl mạng của tôi được áp dụng?
- Tôi biết rằng mọi VPC đều đi kèm với máy chủ DNS để định tuyến tên DNS AWS tới máy ảo. Tôi có thể sử dụng nó làm trình giải quyết của mình không?
