[英]Removing the security group rule if its open to 0.0.0.0/0 for RDP and SSH
[英]Why do AWS EC2 RDP sessions continue to be active after removing the RDP rule from security group?
我有一个 EC2 实例,其安全组只允许 RDP。 这是安全组的唯一规则。
如果我执行以下操作...
...即使附加的安全组中没有入口规则,现有的 RDP session 也可以无限期地继续正常工作。
我的期望是,一旦部署了安全组中的更改,RDP session 就会被切断。
为什么会这样? 我一开始以为是因为安全组的egress rule是0.0.0.0/0,但我也试过把egress IP改成1.2.3.4/32(即随机IP),现有的RDP session依然存在.
总而言之,当我删除 RDP 规则时,似乎只有新连接被阻止,但现有连接继续正常工作。
听起来即使客户端停止与主机通信,RDP 会话也会继续在主机上运行。 这可能很有用,因为如果客户退出,事情就会继续发生。
看起来您可以使用Session Time Limits |为空闲 RDP 会话配置超时组策略设置中的Microsoft Docs :
此节点中的策略设置控制远程桌面 Session 主机服务器上的远程桌面服务会话的时间限制。
因为安全组是有状态的防火墙。 入站请求发起的流量不受出站规则限制。 我怀疑在传输开始时检查了一次规则,然后允许响应流量而无需额外的规则检查。
访问控制列表是无状态的。 我没有测试,但我希望从 ACL 中删除规则会立即减少响应流量。 为了工作,无状态防火墙必须检查每个数据包的入站和出站规则。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.