두 개의 서브넷(퍼블릭 및 프라이빗)과 프라이빗 서브넷 앞에 NAT가 있는 VPC 마법사를 사용하여 VPC를 생성했습니다.
서브넷에 대한 ACL을 살펴보면 에 대한 모든 INBOUND 트래픽을 허용하는 규칙이 있었습니다 0.0.0.0/0. NAT(IP 10.0.0.8)에서 들어오지 않는 인바운드 트래픽을 허용하지 않기 위해 ACL을 다음과 유사하게 변경합니다 Scenario 2.http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html.
즉, ALLOW의 모든 포트에 대한 모든 프로토콜이 10.0.0.0/16허용되지 않습니다 0.0.0.0/0.
내 인스턴스가 인터넷에 액세스할 수 없기 때문에 이것이 제대로 작동하지 않는 것 같습니다. 작동하려면 설정/변경해야 할 다른 것이 있습니까?
답변1
공개적으로 라우팅 가능한 IP 주소는 NAT 인스턴스를 통과할 때 다시 작성되지 않습니다.
네트워크 ACL의 프라이빗 서브넷에 허용되는 전체 공용 인터넷 주소 공간을 남겨 두어야 합니다. 프라이빗 서브넷에 인터넷 게이트웨이가 없고 기본 경로가 NAT 인스턴스를 가리키는 경우 퍼블릭 인터넷 주소는 NAT 인스턴스를 통해서만 간접적으로 도착합니다.
VPC 네트워크 ACL은 VPC 내부 인스턴스 간의 액세스를 제한하는 데 유용하지만 상태 비저장 특성으로 인해 설명하는 구성 유형에 비해 번거롭습니다. 해당 인바운드 트래픽을 허용하기 위해 허용된 아웃바운드 규칙과 일치하는 연결을 추적하지 않습니다. 이므로 인바운드 트래픽에 대해 임시 포트 범위를 허용하여 대략적으로 추정해야 합니다.
보다 유연한 접근 방식은 VPC 라우팅, 프라이빗 서브넷에 인터넷 게이트웨이가 없음, iptablesNAT 인스턴스의 양호한 구성을 조합하여 공개적으로 라우팅 가능한 IP 공간과의 트래픽을 제어하는 동시에 네트워크 ACL을 프라이빗용으로 남겨 두는 것입니다. 공개적으로 라우팅 가능한 IP 공간과 관련하여 기본적으로 서브넷 인스턴스가 허용됩니다. 이러한 환경에서는 프라이빗 서브넷에 배치하는 것만으로도 NAT 인스턴스가 통과하지 않는 외부 트래픽으로부터 인스턴스를 보호하기에 충분합니다.