Creé una VPC usando el asistente de VPC con dos subredes (pública y privada) y una NAT delante de la subred privada.
Al observar la ACL de las subredes, había una regla que permitía todo el tráfico ENTRADA para 0.0.0.0/0. Me gustaría rechazar cualquier tráfico entrante que no provenga de NAT (con IP 10.0.0.8), así que cambio la ACL para que sea similar a las de Scenario 2enhttp://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html.
Es decir, ALLOWTODOS LOS PROTOCOLOS en TODOS LOS PUERTOS desde 10.0.0.0/16, con una prohibición para 0.0.0.0/0.
Esto no parece funcionar correctamente ya que mi instancia no tiene acceso a Internet. ¿Hay algo más que deba configurar/cambiar para que funcione?
Respuesta1
Las direcciones IP enrutables públicamente no se reescriben cuando pasan por la instancia NAT.
Deberá dejar todo el espacio público de direcciones de Internet según lo permitido en la subred privada en las ACL de la red. Si la subred privada carece de una puerta de enlace a Internet y su ruta predeterminada apunta a la instancia NAT, las direcciones públicas de Internet solo llegarán indirectamente a través de la instancia NAT.
Las ACL de red de VPC son útiles para limitar el acceso entre instancias dentro de una VPC, pero su naturaleza sin estado las hace engorrosas para el tipo de configuración que usted describe: no realiza un seguimiento de una conexión que coincide con una regla de salida permitida para permitir el tráfico entrante correspondiente. , por lo que se ve obligado a realizar una aproximación permitiendo rangos de puertos efímeros para el tráfico entrante.
Un enfoque más flexible es utilizar una combinación de enrutamiento VPC, la ausencia de una puerta de enlace de Internet en la subred privada y una buena iptablesconfiguración en la instancia NAT para controlar el tráfico hacia y desde el espacio IP enrutable públicamente, mientras se deja la ACL de red para la privada. Instancias de subred permisivas de forma predeterminada con respecto al espacio IP enrutable públicamente. En dicho entorno, la ubicación en la subred privada es suficiente para proteger las instancias de cualquier tráfico externo que la instancia NAT no pase.