Tengo dos cuentas de Amazon AWS, una paga que aloja servidores web públicos (llamada "pagado" a continuación) y una cuenta de nivel gratuito (llamada "gratis" a continuación). Cada una tiene un par de instancias EC2 que ejecutan Amazon Linux en su propia VPC, cada una con una única subred sin superposición entre ellas. Quería poder transferir archivos fácilmente entre cuentas, incluido el acceso a un repositorio básico de git enpagadodegratis. Entonces leí sobre las conexiones de intercambio de tráfico de VPC y creo que seguí las guías correctamente, creando y aceptando una conexión de intercambio de tráfico entre las VPC, luego modificando los grupos de seguridad y configurando rutas en cada VPC para acceder a la subred en la otra VPC.
Aquí está la configuración básica para elpagadocuenta:
VPC:
Conexión de peering y rutas:
Grupo de seguridad:
Y aquí está la misma información para elgratiscuenta:
VPC:
Conexión de peering y rutas:
Grupo de seguridad:
Lo que encuentro es que desde una instancia en elpagadocuenta, puedo hacer ping con éxito a una instancia en la cuenta gratuita:
$ ip -f inet addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc pfifo_fast state UP qlen 1000
inet 10.0.0.12/24 brd 10.0.0.255 scope global eth0
valid_lft forever preferred_lft forever
$ ping 172.31.30.44
PING 172.31.30.44 (172.31.30.44) 56(84) bytes of data.
64 bytes from 172.31.30.44: icmp_seq=1 ttl=255 time=0.722 ms
Pero no puedo hacer ping desde elgratiscuenta a lapagadocuenta:
$ ip -f inet addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc pfifo_fast state UP group default qlen 1000
inet 172.31.30.44/20 brd 172.31.31.255 scope global dynamic eth0
valid_lft 3259sec preferred_lft 3259sec
$ ping 10.0.0.12
PING 10.0.0.12 (10.0.0.12) 56(84) bytes of data.
^C
--- 10.0.0.12 ping statistics ---
14 packets transmitted, 0 received, 100% packet loss, time 13308ms
¿Alguien puede explicar por qué esta configuración no me permite hacer ping a un host en elpagadocuenta de un host en elgratis¿cuenta?
¿Necesito proporcionar más información (si es así, qué)?
Respuesta1
En comentarios aesta respuestaa una pregunta no relacionada sobre las ACL de red en elpagadoVPC de la cuenta, mencioné que había reemplazado el uso de las ACL de la red AWS por el comando iptables de Linux. Cuando lo configuré hace diez años, no esperaba querer comunicarme nunca con ninguna dirección privada fuera de mi propia subred. Entonces estaba eliminando conexiones entrantes desde 172.16.0.0/12. Por eso pude alcanzargratisdepagado, pero no al revés. Eliminar ese bloque de iptables soluciona el problema.
¡Que embarazoso!