認めませんルールがすでに確立MongoDBの接続に影響を与えていない

Question

これはケースです：

1. インスタンスX（EC2のセキュリティグループで許可された）TCPポート27017
上のインスタンス Yに接続することができます
2. Xはモンゴシェルを持っている
3. YのMongoDBは0123から
4. ポート27017にXからの接続を受け入れ、実行しています、mongoシェルを使用してDBインスタンスに接続するY
5. Xのこのmongoシェルセッションから、YのクエリとYに挿入します。すべて成功です。 Yの
6. 変更セキュリティグループ：まだ/から問い合わせるDBに挿入することができます
7. X＃1で述べたポート27017のルールを削除するには、Y上でホストされています。これは期待されていません。
8. mongoシェルセッションを終了するX
9. 手順4をもう一度実行しても、失敗します。これは正常であり、期待されています。

EC2ネットワークファイアウォールは、ルール（セキュリティグループポリシー）に違反する接続を終了させることが予想されます。

上記の＃7の仕組みについて教えてください。どのように避けることができますか（Xはその時にYに何もできません）？

ありがとうございます。

Answer 1

期待はEC2のネットワークファイアウォールは、あなたがここに仮定を作っているルール

に違反接続 を終了することです。それはどのように動くべきかについてのあなたの期待かもしれませんが、公式のAWSのドキュメンテーションにはどこにバックアップされていますか？これがどのように機能するかについて前提を作るのではなく、ドキュメントを読むことをお勧めします。 the documentationから

：あなたはその流れを可能にするセキュリティグループルールを削除する際に追跡されたトラフィックの

既存のフローは を中断することはできません。 代わりに、フローは、あなたまたは他の ホストが少なくとも数分間（または確立されたTCP 接続の場合は最大5日間）ホストによって停止されたときに中断されます。 UDPの場合、これは、フローのリモート側の でアクションを終了する必要があります。フローを有効にするルールが削除または変更された場合、トラッキングされていないフローはすぐに に割り込まれます。 たとえば、すべての着信SSHトラフィック （0.0.0.0/0）をインスタンスに許可するルールを削除すると、 インスタンスへの既存のSSH接続はただちに削除されます。

あなたはセキュリティグループルールを削除 とき、トラフィックがすぐに中断されていることを確認したい場合は、あなたの サブネットのネットワークACLを使用することができます - ネットワークACLはステートレスであるため、応答トラフィックを許可し、自動的に しません。詳細については、 Amazon VPCユーザーガイドのネットワークACLを参照してください。