AWS で VPC を作成し、NAT ゲートウェイを追加して、VPC 内のインスタンスがインターネット上の他のリソースを利用できるようにしました。これらのリソースの一部はサードパーティに属し、ファイアウォールの背後にあるため、正常に接続できるようにするには、NAT ゲートウェイの IP アドレスを追加する必要があります。彼らは私の IP アドレスを追加したと主張していますが、NAT ゲートウェイの本質上、応答で私の NAT ゲートウェイ IP に ping/telnet できないため、確認できません。NAT ゲートウェイ IP への接続を確立できるかどうかを確認する方法はありますか?
答え1
私の NAT ゲートウェイ IP への接続を確立できるかどうかを確認する方法はありますか?
いいえ、リソースに接続することはできません。あなた接続する必要があります彼らVPC 内から。
しかし、あなたはあなたのルーティングNAT 経由は実際に機能しますか? VPC NAT の場合、通常、少なくとも 2 つのサブネットが必要です。
非武装地帯(または公共)を持つものIGW(インターネットゲートウェイ)が接続され、リソースがパブリックIPまたはElastic IPアドレスを持つ場合。ルートテーブル
0.0.0.0/0
を指し示すIGW. ここで設定しますNAT ゲートウェイ。プライベートデフォルトルート
0.0.0.0/0
が指すサブネットNAT ゲートウェイリソース (インスタンス) にはパブリック IP がありません。
これら 2 つのサブネットがある場合は、プライベート サブネットに EC2 インスタンスを作成し、インターネットに接続してみます。NATcurl http://ifconfig.co
ゲートウェイの Elastic IP が返された場合は、ルーティングが機能しています。タイムアウトする場合は、適切に構成されていないため、さらに詳しく調べる必要があります。
一般的なインターネットアクセスが機能している場合にのみそれから第三者と協力して、彼らの正しく設定されています。
アップデート
確認するには、NAT IPのネットワークトラフィックログを設定し、
- トラフィックがあなたから外部インターフェースに到着し、
- トラフィックがファイアウォールを通過して対象の内部システムに到達していることを確認します。
Linux では、たとえばトラフィックを監視するために使用できますがtcpdump
、Cisco やその他の HW ルーターでは独自のツールがあります。トラフィックが通過しているかどうかを確認するのは、それらのツールの責任です。