¿Por qué no entran en vigor las reglas de mi grupo de seguridad?
Síntomas
Las reglas de grupo de seguridad que ha configurado para un ECS no han surtido efecto.
Resolución de problemas
Los problemas aquí se describen en orden de la probabilidad de que ocurran.
Solucione el problema descartando las causas descritas aquí, una por una.
![haga clic para agrandar](https://support.huaweicloud.com/intl/es-us/vpc_faq/es-us_image_0272318992.png)
Causa posible |
Solución |
---|---|
Configuraciones de regla de grupo de seguridad incorrectas |
Consulte Configuración de regla de grupo de seguridad incorrecta |
Conflictos entre las reglas de ACL de red y las reglas de grupo de seguridad |
Consulte Conflictos entre las reglas de ACL de red y las reglas de grupo de seguridad |
Configuraciones de firewall de ECS incorrectas |
Configuración de regla de grupo de seguridad incorrecta
Si las reglas de grupo de seguridad no se configuran correctamente, los ECS no se pueden proteger. Compruebe las reglas del grupo de seguridad basadas en las siguientes causas:
- La dirección de una regla es incorrecta.
- El protocolo de una regla es incorrecto.
- El puerto utilizado en una regla es arriesgado y no se puede acceder a él. Para obtener más información acerca de los puertos comunes y los puertos riesgosos, consulte Puertos comunes utilizados por ECS.
- El puerto utilizado en una regla no se abre. Puede realizar los siguientes pasos para comprobar si se está escuchando un puerto en el servidor.
Por ejemplo, ha implementado un sitio web en ECS. Los usuarios deben acceder a su sitio web a través de TCP (puerto 80), y usted ha agregado la regla de grupo de seguridad que se muestra en Tabla 2.
ECS de Linux
Para verificar la regla de grupo de seguridad en un ECS de Linux:
- Inicie sesión en el ECS.
- Ejecute el siguiente comando para comprobar si se está escuchando el puerto TCP 80:
netstat -an | grep 80
Si se muestra la salida del comando en Figura 2, se está escuchando el puerto TCP 80.
- Escriba http://ECS EIP en el cuadro de dirección del navegador y pulse Enter.
Si se puede acceder a la página solicitada, la regla del grupo de seguridad tiene efecto.
ECS de Windows
Para comprobar la regla del grupo de seguridad en un ECS de Windows:
- Inicie sesión en el ECS.
- Elija Start > Accessories > Command Prompt.
- Ejecute el siguiente comando para comprobar si se está escuchando el puerto TCP 80:
netstat -an | findstr 80
Si se muestra la salida del comando en Figura 3, se está escuchando el puerto TCP 80.
- Escriba http://ECS EIP en el cuadro de dirección del navegador y pulse Enter.
Si se puede acceder a la página solicitada, la regla del grupo de seguridad tiene efecto.
- Los ECS pertenecen a las diferentes VPC. Si dos ECS están en el mismo grupo de seguridad pero en las VPC diferentes, los ECS no pueden comunicarse entre sí. Para habilitar las comunicaciones entre los ECS, utilice una interconexión de VPC para conectar los dos VPC. Para obtener detalles sobre la conectividad de VPC, consulte Escenarios de aplicación.
Puede agregar una regla de grupo de seguridad o modificar una regla de grupo de seguridad para seleccionar la dirección correcta, el protocolo y abrir los puertos.
Conflictos entre las reglas de ACL de red y las reglas de grupo de seguridad
Los grupos de seguridad operan a nivel de ECS, mientras que las ACL de red operan a nivel de subred.
Por ejemplo, si configura una regla de grupo de seguridad entrante para permitir el acceso a través del puerto 80 y una regla de ACL de red para denegar el acceso a través del puerto 80, la regla de grupo de seguridad no tendrá efecto.
Puede agregar una regla de ACL de red o modificar una regla de ACL de red para permitir el tráfico desde el puerto de protocolo correspondiente.
Configuraciones de firewall de ECS incorrectas
Compruebe si el firewall del ECS abre los puertos requeridos.
Para obtener más información, consulte Desactivar un Firewall de ECS de Windows y agregar una excepción de puerto en un Firewall de ECS de Windows o Desactivar un Firewall de ECS de Linux y agregar una excepción de puerto en un Firewall de ECS de Linux.
Envío de un ticket de servicio
Si el problema persiste, envíe un ticket de servicio.