Network ACLでハマった話 | tech先日書いたNATインスタンス経由での通信に続き、Network ACLでハマったので、記録を残そうかと。 Network ACLはステートレス はい。応答の通信も評価の対象になるのですよね。ちゃんと推奨される設定も確認していたのです。今回はLinux環境だったので、Ephemeralポートは32768~61000であることも理解はしていたつもりでした。 NTPで同期できない そんなVPC環境でLinuxサーバをばんばん立てていたら、NTPが同期できていないことが発覚。123/udpのOutboundは開放していたけど、UDPの応答通信のことを何も考えていなかったと気付いて調査開始。tcpdumpしながら、ntpdateを叩いてみた。 # tcpdump port 123 -nn (SRC IP).123 > (DST IP).123 (DST IP).123 > (SRC IP).123
