我正在使用网络ACL控制流入和流出子网。我有在EC2 redhat实例中运行的java服务以及在外面运行的其他一些服务。我使用route53 DNS在java服务和外面运行的其他服务之间进行通信。
I am getting the error hostname is not able to resolve in java service if
I allow traffic to the protocol DNS(UDP) 53.
Inbound DNS(UDP) 53
Outbound DNS(UDP) 53
It's working fine if I allow all traffic to UDP in ACL.
Inbound All UDP
Outbound All UDP
在网络ACL中,必须在入站和出站中配置正确的协议和端口才能解决上述错误?
你会发现这也有效:
Outbound UDP 53
Inbound UDP Any
网络ACL是无状态的,因此您的问题的答案实际上与Route 53无关,而是取决于您的Java解析器使用的源端口。据推测,这是一个ephemeral port。您需要识别该端口或端口范围并允许其入站。
您的配置不起作用,因为它假定您使用53作为源端口发送请求。与安全组不同,网络ACL不会自动允许响应流量匹配允许的请求。您的配置允许请求结束,但不允许响应。如果您尝试允许,例如,HTTPS将会发现相同的问题。 443输入和输出也不是正确的配置 - 它是443输出和短暂范围。