腾讯云一台主机的安全组的出站规则我配置的是"All Traffic, All 端口, 0.0.0.0/0, 拒绝”。结果是不能 ping baidu.com，但是仍然能 apt-get upgrade。是我哪里理解不对？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Recommended Services

› Amazon Web Services

› LeanCloud

› New Relic

› ClearDB

这是一个创建于 3129 天前的主题，其中的信息可能已经有所发展或是发生改变。

出站

all

Upgrade

traffic

17 条回复 • 2016-05-06 10:01:52 +08:00

wdlth

2016-05-03 20:06:30 +08:00

默认用的是内网的镜像

smallfount

2016-05-03 20:08:50 +08:00

因为 APT 的 source 在他们 IDC 里就有....

Radeon

2016-05-03 20:09:38 +08:00

@wdlth 问题是内网也应该连不通才对啊。事实上，我是不能 ping 通其他的内网机器

Radeon

2016-05-03 20:18:30 +08:00

@smallfount 问题是这个出站规则应该也把 IDC 内部的 IP 也屏蔽了才对啊

lhbc

2016-05-03 20:19:07 +08:00

安全组是配置在公网 NAT 设备里的，跟你的服务器无关
你服务器的内网流量，不经过公网的 NAT 设备

BOYPT

2016-05-03 22:05:31 +08:00

因为镜像在你的策略防火墙里面。

realpg

2016-05-04 01:11:18 +08:00

你把 source.list 改成非腾讯的就不行了吧……

wzxjohn

2016-05-04 01:36:11 +08:00 via iPhone

不同帐号内网本来就不通。源默认用腾讯云的内网镜像，不走外网。你修改的策略在出腾讯云的 NAT 层，你可以理解为在你家路由器上配的策略，不会影响任何内网流量。

Radeon

2016-05-04 09:55:35 +08:00

@wzxjohn
@realpg
@BOYPT
@lhbc
@smallfount
@wdlth

我反复测试了。首先我的内网机器都是一个帐号下的。如果出站规则是允许，就能互相 ping 通，如果出站规则是拒绝，就互相 ping 不通。其次，在出站规则是拒绝的时候，确实能连 IDC 内的腾讯的源，看来是做了一个特殊的隐藏规则

BOYPT

2016-05-04 09:59:24 +08:00

@Radeon 那就是“内网机器”在策略防火墙规则外。

Radeon

2016-05-04 10:01:08 +08:00

@BOYPT 都说了我的内网机器是受安全组规则影响的

BOYPT

2016-05-04 10:05:48 +08:00

@Radeon “防火墙外”不就是受影响的意思吗。墙外，墙内两个词自己体会一下。

winterbells

2016-05-04 10:09:45 +08:00 via Android

腾讯云用的是内网的 DNS ，换成 114 之类的就行了

ZhangTingkuo

2016-05-04 10:25:42 +08:00

apt-get upgrade 用的是腾讯的镜像，走的是内流量。

Radeon

2016-05-04 10:27:04 +08:00

@ZhangTingkuo 这个我知道。但是这个出站规则可以阻止我连自己的内网机器却不能阻止连腾讯的镜像，是什么原因

wzxjohn

2016-05-06 00:08:43 +08:00 via iPhone

@Radeon 你别告诉我你 ping 的是外网 IP 啊。。。

Radeon

2016-05-06 10:01:52 +08:00

@wzxjohn 当然是 10.开头的内网 IP