場景 :
主機A 具備公網IP 作為 SNAT。
主機B 作為用戶端通過主機A 通路公網。
主機A使用普通安全組。
主機B使用企業安全組。
主機C和主機A使用同一個安全組。
現象:
主機B ping 公網正常,telnet baidu.com 443 端口不通,而主機C則正常。
原因:
主機A的安全組上沒有開放443,是以主機B 無法使用443端口。
由于A、C 處于同一個安全組是以A 、C 兩個主機互通不需要再添加安全組規則。
而B使用企業安全組則,則其無法通路A主機443端口,則通路百度TCP 443的請求轉發至A主機後被丢棄。
在排查時忽略了企業安全組的問題,導緻長時間未能定位到問題。
在這裡需要強調企業安全組與普通安全組最關鍵的差别:
企業安全組 入和出預設都禁止。
同一個企業安全組的主機不能互通,需要單獨加安全組規則。 ![HTTP 錯誤 403.9 - 禁止通路:連接配接的使用者過多 XP IIS伺服器連接配接數的修改[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)