腾讯云一台主机的安全组的出站规则我配置的是"All Traffic, All 端口, 0.0.0.0/0, 拒绝”。结果是不能 ping baidu.com，但是仍然能 apt-get upgrade。是我哪里理解不对？

默认用的是内网的镜像

因为 APT 的 source 在他们 IDC 里就有....

@wdlth 问题是内网也应该连不通才对啊。事实上，我是不能 ping 通其他的内网机器

@smallfount 问题是这个出站规则应该也把 IDC 内部的 IP 也屏蔽了才对啊

安全组是配置在公网 NAT 设备里的，跟你的服务器无关
你服务器的内网流量，不经过公网的 NAT 设备

因为镜像在你的策略防火墙里面。

你把 source.list 改成非腾讯的就不行了吧……

不同帐号内网本来就不通。源默认用腾讯云的内网镜像，不走外网。你修改的策略在出腾讯云的 NAT 层，你可以理解为在你家路由器上配的策略，不会影响任何内网流量。

@wzxjohn
@realpg
@BOYPT
@lhbc
@smallfount
@wdlth

我反复测试了。首先我的内网机器都是一个帐号下的。如果出站规则是允许，就能互相 ping 通，如果出站规则是拒绝，就互相 ping 不通。其次，在出站规则是拒绝的时候，确实能连 IDC 内的腾讯的源，看来是做了一个特殊的隐藏规则

@Radeon 那就是“内网机器”在策略防火墙规则外。

@BOYPT 都说了我的内网机器是受安全组规则影响的

@Radeon “防火墙外”不就是受影响的意思吗。墙外，墙内两个词自己体会一下。

腾讯云用的是内网的 DNS ，换成 114 之类的就行了

apt-get upgrade 用的是腾讯的镜像，走的是内流量。

@ZhangTingkuo 这个我知道。但是这个出站规则可以阻止我连自己的内网机器却不能阻止连腾讯的镜像，是什么原因

@Radeon 你别告诉我你 ping 的是外网 IP 啊。。。

@wzxjohn 当然是 10.开头的内网 IP