I Security Group operano a livello di istanza e sono stateful: se permetti traffico in entrata su porta 443, il traffico di risposta è automaticamente permesso in uscita senza regole aggiuntive. I Network ACL operano a livello di subnet e sono stateless: devi esplicitamente configurare sia le regole inbound che outbound, incluse le porte efemere per le risposte (1024-65535). Quando un pacchetto raggiunge una subnet, viene prima filtrato dal NACL (regole elaborate in ordine numerico, la prima che corrisponde vince) e poi dal Security Group.
Le porte efemere (ephemeral ports) sono porte temporanee scelte casualmente dal sistema operativo del client per identificare una connessione TCP/UDP. Quando il tuo browser si connette a un server su porta 443, il tuo sistema sceglie una porta sorgente casuale tra 1024 e 65535 (tipicamente 49152-65535 su Linux). Il server risponde a quella porta efimera. Nelle NACL, devi esplicitamente permettere il traffico di ritorno su questo range di porte in outbound (per le regole del server) e inbound (per le regole del client).
A differenza delle NACL che hanno regole DENY esplicite, i Security Group lavorano solo con regole ALLOW. Qualsiasi traffico non esplicitamente permesso è implicitamente negato. Non esiste una regola 'deny' aggiungibile. Per bloccare un IP specifico pur permettendo il resto, devi usare una NACL (che supporta DENY espliciti) oppure soluzioni a livello applicativo come WAF. Questa differenza è fondamentale per il debug: se hai una regola che permette tutto (0.0.0.0/0) non puoi sovrascriverla con un deny in un Security Group.
No. Tutti gli strumenti LYNK TOOLS funzionano interamente nel browser, senza inviare file o dati a server esterni. L'elaborazione avviene localmente sul tuo dispositivo: i tuoi file restano privati e non vengono mai caricati online.