Contents
はじめに
ファイアウォール機能の一つにセキュリティグループがあります。
今回はセキュリティグループの設定変更を試してみましょう。
EC2インスタンスを作成したばかりの時は下記の設定になっています。
※グループ名がlaunch-wizardとなっているもの
インバウンド:SSHのみ許可
アウトバウンド:全てのトラフィックが許可
セキュリティグループの設定を変更すると即時反映されます。
EC2インスタンスの再起動は不要です。
セキュリティグループの特徴としてステートフルなトラフィックとして情報を保持します。
アウトバウンドで許可した通信の戻りのトラフィックについては、
許可をしなくても受信できます。
EC2インスタンスからyahoo.comにpingを打った場合でも、
戻りの通信を許可する必要はありません。
別のファイアウォール機能である、ネットワークACLについては別途UPする予定です。
ここではEC2に対してpingが通るようにする設定と、
Webサーバを立てて公開する方法を試してみましょう。
EC2にPingが通るように設定する
・インスタンスの画面でセキュリティグループをクリック
インスタンス画面でセキュリティグループで設定されているルールをクリックします。
※ここではlaunch-wizard-3という名前です。
・編集ボタンを押す
編集ボタンを押してルールを追加します。
・ルールの追加を押す
ルールの追加を押す。
・ICMPを許可する
タイプを全てのICMPにする。
ソースをマイIPにする。
こうすると自分のIPからのみpingが通るようになります。
マイIPを選択するとその時に使用しているグローバルIP(自分の家)を設定してくれます。
但しルータを再起動したりしてIPが変わってしまうとその都度、
セキュリティグループの設定を変える必要が出てきます。
・追加されたルールを確認
ICMP-IPv4の設定が追加されたことを確認します。
併せてEC2インスタンスへPingが通るようになったことを確認しましょう。
ルールを追加したときからPingが通るようになります。
繰り返しますがEC2のインスタンスを再起動する必要はありません。
Webサーバを立ててみよう
PingだけではつまらないのでWebサーバの練習もしてみましょう。
・httpdをインストール
httpdをインストールしましょう。
コマンドはsudo yum -y install httpdです。
・インストール完成
それほど時間がかかることなく直ぐに完了します。
・httpdをスタートする
ここではserviceコマンドを使っていますが、
systemctlにredirectしてくれています。
・indexファイルを作成する
sudo vi/var/www/html/index.htmlでインデックスファイルを作成します。
ディストリビューションによってファイルパスが変わる事があるので、
その際はそのディストリビューションに合わせてください。
・ブラウザで表示するファイルを作成
とりあえず中身は何でも大丈夫です。
・編集するセキュリティグループを選択
ここでも方法は同じです。
・HTTPを許可する
WebなのでHTTPを選択します。
どこからでもアクセスできるようにソースの部分はカスタムで0.0.0.0/0, ::/0と入力します。
・設定されたルールを確認
HTTPの行が2つ追加されたことを確認します。
・ブラウザで表示されることを確認
実際に外部からアクセスして表示されるかどうか確認してみましょう。
当然無料の枠内で練習できます。