AWS network-acl блокирует разрешение nginx dns

Я пытаюсь заблокировать порты в своих подсетях, и у меня возникла проблема с экземпляром nginx, который я запускаю в ECS.

Трафик поступает в систему на :443 к ELB, который направляет часть его на экземпляр nginx, работающий на ECS, который proxy_pass-es его на внешний адрес www.

Nginx настроен на proxy_pass к доменному имени, и он использует конфигурацию преобразователя nginx: преобразователь 8.8.8.8 ipv6 = выкл. действительный = 10 с чтобы разрешить это на IP-адрес. IP не статичен, поэтому я должен это сделать.

Однако, когда я применяю свой сетевой acl, все работает, кроме этого разрешения DNS. Nginx возвращает ответы Bad Gateway, жалуясь, что мой домен не удалось решить (110: время ожидания операции истекло).

Сетевой список ACL разрешает весь исходящий трафик для всех протоколов, но ограничивает входящий трафик определенным набором портов.

Я пытался добавить 53 (UDP и TCP) в правила для входящего трафика, но разрешение все равно не удается.

Важно отметить, что если я разрешаю весь входящий трафик, разрешение DNS работает.

Мой вопрос:

1. Что мне нужно сделать, чтобы преобразователь nginx работал, когда мой сетевой ACL применяется?
2. Я знаю, что каждый VPC поставляется с DNS-сервером, чтобы направлять DNS-имена AWS на виртуальные машины. Могу ли я вместо этого использовать это как свой преобразователь?

Один из возможных ответов — разрешить весь трафик, поступающий с 8.8.8.8.

Однако важно отметить, что некоторые сервисы AWS (например, ELB) используют эфемерные порты (https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-ephemeral-ports), и они также должны быть открыты.

Конечно, они представляют собой большой диапазон портов, но, как указано в документации, вы всегда можете ОТКЛОНИТЬ трафик от вредоносных портов.