Ich habe in AWS ein VPC erstellt und ein NAT-Gateway hinzugefügt, damit meine Instanzen im VPC andere Ressourcen im Internet nutzen können. Einige dieser Ressourcen gehören einem Drittanbieter und befinden sich hinter einer Firewall, für die die IP-Adressen meiner NAT-Gateways hinzugefügt werden müssen, damit ich eine erfolgreiche Verbindung herstellen kann. Sie behaupten, meine IP-Adressen hinzugefügt zu haben, können dies jedoch nicht überprüfen, da sie aufgrund der tatsächlichen Natur der NAT-Gateways nicht in der Lage sind, meine NAT-Gateway-IPs mit einer Antwort anzupingen/per Telnet zu erreichen. Gibt es für sie eine Möglichkeit zu überprüfen, ob sie eine Verbindung zu meinen NAT-Gateway-IPs herstellen können?
Antwort1
Gibt es für sie eine Möglichkeit zu überprüfen, ob sie eine Verbindung zu meinen NAT-Gateway-IPs herstellen können?
Nein, sie können keine Verbindung zu Ihren Ressourcen herstellen.Dumuss verbunden sein mitihnenvon innerhalb Ihrer VPC.
Sind Sie jedoch sicher, dass IhreRoutenplanungüber NAT tatsächlich funktioniert? Für VPC NAT benötigt man grundsätzlich mindestens 2 Subnetze:
DMZ(oderöffentlich) eine, dieIGW(Internet Gateway) angeschlossen ist und die Ressourcen eine öffentliche oder elastische IP-Adresse haben. Die Standardroute imRoutentabelle
0.0.0.0/0verweist auf dieIGW. Dort richten Sie IhreNAT-Gateway.PrivatSubnetz, in dem die Standardroute
0.0.0.0/0auf dasNAT-Gatewayund die Ressourcen (Instanzen) haben keine öffentlichen IPs.
Wenn Sie diese beiden Subnetze haben, erstellen Sie eine EC2-Instanz im privaten Subnetz und versuchen Sie, eine Verbindung zum Internet herzustellen. Führen Sie beispielsweise Folgendes aus: curl http://ifconfig.coWenn die Verbindung mit der Elastic IP Ihres NAT-Gateways zurückgegeben wird, funktioniert Ihr Routing. Wenn es zu einer Zeitüberschreitung kommt, ist die Konfiguration nicht richtig und Sie müssen sich noch genauer damit befassen.
Erst wenn Sie Ihren allgemeinen Internetzugang zum Laufen bringenDannSie können mit Ihrem Drittanbieter zusammenarbeiten, um sicherzustellen,ihreist richtig eingerichtet.
Aktualisieren
Um dies zu überprüfen, müssen sie die Netzwerkverkehrsprotokollierung für Ihre NAT-IP einrichten und überprüfen, ob
- Der Datenverkehr kommt von Ihnen zu ihrer externen Schnittstelle und
- dass der Datenverkehr durch ihre Firewall geleitet wird, um das interne Zielsystem zu erreichen.
Unter Linux können sie beispielsweise tcpdumpden Datenverkehr überwachen, auf Cisco- oder anderen HW-Routern haben sie ihre eigenen Tools. Sie müssen überprüfen, ob Ihr Datenverkehr durchgelassen wird.