Criei uma VPC usando o assistente VPC com duas sub-redes (pública e privada) e um NAT na frente da sub-rede privada.
Observando a ACL das sub-redes, havia uma regra para permitir todo o tráfego INBOUND para 0.0.0.0/0. Eu gostaria de proibir qualquer tráfego de entrada que não venha do NAT (com IP 10.0.0.8), então altero a ACL para ser semelhante àquelas Scenario 2emhttp://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html.
Ou seja, ALLOWTODOS OS PROTOCOLOS em TODAS AS PORTAS de 10.0.0.0/16, com uma proibição para 0.0.0.0/0.
Isso não parece funcionar corretamente porque minha instância não tem acesso à Internet. Há mais alguma coisa que preciso configurar/alterar para que funcione?
Responder1
Endereços IP roteáveis publicamente não são reescritos quando passam pela instância NAT.
Você precisará deixar todo o espaço de endereço público da Internet conforme permitido na sub-rede privada nas ACLs da rede. Se a sub-rede privada não tiver um gateway de Internet e sua rota padrão apontar para a instância NAT, os endereços públicos da Internet chegarão apenas indiretamente através da instância NAT.
As ACLs de rede VPC são úteis para limitar o acesso entre instâncias dentro de uma VPC, mas sua natureza sem estado as torna complicadas para o tipo de configuração que você descreve: elas não rastreiam uma conexão que corresponda a uma regra de saída permitida para permitir o tráfego de entrada correspondente , então você é forçado a aproximar, permitindo intervalos de portas efêmeras para tráfego de entrada.
Uma abordagem mais flexível é usar uma combinação de roteamento VPC, a ausência de um gateway de Internet na sub-rede privada e uma boa iptablesconfiguração na instância NAT para controlar o tráfego de e para o espaço IP roteável publicamente, deixando a ACL da rede para o espaço privado. instâncias de sub-rede permissivas por padrão em relação ao espaço IP roteável publicamente. Nesse ambiente, o posicionamento na sub-rede privada é suficiente para proteger as instâncias de qualquer tráfego externo que a instância NAT não passe.