Criei uma VPC no aws e adicionei um NAT Gateway para que minhas instâncias na VPC possam consumir outros recursos da internet. Alguns desses recursos pertencem a terceiros e estão protegidos por um firewall ao qual meus endereços IP de gateways NAT devem ser adicionados para que eu possa me conectar com êxito. Eles afirmam ter adicionado meus endereços IP, mas não conseguem verificar porque, na verdadeira natureza dos gateways NAT, eles não conseguem fazer ping/telnet em meus IPs do gateway NAT com uma resposta. Existe alguma maneira para eles verificarem se conseguem estabelecer uma conexão com os IPs do meu gateway NAT?
Responder1
Existe alguma maneira para eles verificarem se conseguem estabelecer uma conexão com os IPs do meu gateway NAT?
Não, eles não conseguirão se conectar aos seus recursos.Vocêdeve se conectar aelesde dentro da sua VPC.
No entanto, você tem certeza de que seuroteamentoatravés do NAT realmente funciona? Para VPC NAT você geralmente precisa de pelo menos duas sub-redes:
DMZ(oupúblico) aquele que temIGW(Internet Gateway) conectado e onde os recursos possuem endereço IP público ou elástico. A rota padrão noTabela de rotas
0.0.0.0/0aponta para oIGW. É aí que você configura seuGateway NAT.Privadosub-rede onde a rota padrão
0.0.0.0/0aponta para oGateway NATe os recursos (instâncias) não possuem IPs públicos.
Se você tiver essas 2 sub-redes, crie uma instância EC2 na sub-rede Privada e tente se conectar à Internet, por exemplo, faça curl http://ifconfig.co- se ele retornar com o IP elástico do seu gateway NAT, seu roteamento funcionará. Se o tempo expirar, não estará configurado corretamente e você precisará se aprofundar um pouco mais nisso.
Somente quando você tiver seu acesso geral à Internet funcionandoentãovocê pode trabalhar com terceiros para garantirdelesestá configurado corretamente.
Atualizar
Para verificar, eles terão que configurar o registro de tráfego de rede para o seu IP NAT e verificar se
- o tráfego chega de você para sua interface externa e
- esse tráfego está passando pelo firewall para chegar ao sistema interno de destino.
No Linux eles podem usar, por exemplo, tcpdumppara monitorar o tráfego, no Cisco ou em outros roteadores HW eles terão suas próprias ferramentas. Cabe a eles verificar se o seu tráfego está sendo transmitido.