Скорее всего, брандмауэр AWS отбрасывает ICMP-пакет, указывающий, что хост не может быть найден, а брандмауэр iptables никак не реагирует.
См. https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Destination_unreachable.
Преимущества ICMP «unreachable» по сравнению с простой отправкой сброса TCP:
- он работает так же и для UDP, у которого нет способа сигнализировать о нежелании принимать данные
- он более честен в Дело AWS, потому что пакет исходит не от хоста, а из инфраструктуры AWS; для создания сброса TCP AWS придется «подделывать» данные от имени защищенного хоста
- некоторые автоматические сканеры портов могут сдаться без проверки всех портов, если хост недоступен
Rufflewind
03.08.2016, 03:42
Ссылка