Ich habe mithilfe des VPC-Assistenten ein VPC mit zwei Subnetzen (öffentlich und privat) und einem NAT vor dem privaten Subnetz erstellt.
Wenn ich mir die ACL für die Subnetze ansehe, gibt es eine Regel, die allen eingehenden Verkehr für zulässt 0.0.0.0/0. Ich möchte eingehenden Verkehr, der nicht vom NAT (mit IP 10.0.0.8) kommt, nicht zulassen, also ändere ich die ACL so, dass sie denen in ähnelt Scenario 2.http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html.
Das heißt, ALLOWALLE PROTOKOLLE auf ALLEN PORTS von 10.0.0.0/16, mit einem Verbot für 0.0.0.0/0.
Dies scheint nicht richtig zu funktionieren, da meine Instanz keinen Internetzugang hat. Muss ich sonst noch etwas einrichten/ändern, damit es funktioniert?
Antwort1
Öffentlich routbare IP-Adressen werden nicht umgeschrieben, wenn sie durch die NAT-Instanz laufen.
Sie müssen den gesamten öffentlichen Internetadressraum im privaten Subnetz in den Netzwerk-ACLs so belassen, wie er zulässig ist. Wenn das private Subnetz kein Internet-Gateway hat und seine Standardroute auf die NAT-Instanz verweist, gelangen öffentliche Internetadressen nur indirekt über die NAT-Instanz.
VPC-Netzwerk-ACLs sind nützlich, um den Zugriff zwischen Instanzen innerhalb einer VPC zu beschränken, aber ihre zustandslose Natur macht sie für die Art der von Ihnen beschriebenen Konfiguration umständlich: Sie verfolgen keine Verbindung, die einer zulässigen Regel für ausgehenden Datenverkehr entsprach, um den entsprechenden eingehenden Datenverkehr zuzulassen, sodass Sie zu einer Annäherung gezwungen sind, indem Sie flüchtige Portbereiche für eingehenden Datenverkehr zulassen.
Ein flexiblerer Ansatz besteht in der Verwendung einer Kombination aus VPC-Routing, dem Fehlen eines Internet-Gateways im privaten Subnetz und einer guten iptablesKonfiguration in der NAT-Instanz zur Steuerung des Datenverkehrs von und zu öffentlich routbarem IP-Bereich, während die Netzwerk-ACL für private Subnetzinstanzen in Bezug auf öffentlich routbaren IP-Bereich standardmäßig freizügig bleibt. In einer solchen Umgebung reicht die Platzierung im privaten Subnetz aus, um Instanzen vor jeglichem externen Datenverkehr zu schützen, den die NAT-Instanz nicht durchlässt.