Я создал VPC с помощью мастера VPC с двумя подсетями (публичной и частной) и NAT перед частной подсетью.
Глядя на ACL для подсетей, было правило, разрешающее весь ВХОДЯЩИЙ трафик для 0.0.0.0/0. Я хотел бы запретить любой входящий трафик, который не поступает из NAT (с IP 10.0.0.8), поэтому я изменил ACL так, чтобы он был похож на тот, что Scenario 2вhttp://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html.
То есть ALLOWВСЕ ПРОТОКОЛЫ на ВСЕХ ПОРТАХ из 10.0.0.0/16, с запретом для 0.0.0.0/0.
Похоже, это работает некорректно, так как у моего экземпляра нет доступа в Интернет. Нужно ли мне что-то еще настроить/изменить, чтобы это заработало?
решение1
Публично маршрутизируемые IP-адреса не перезаписываются при прохождении через экземпляр NAT.
Вам нужно будет оставить все публичное адресное пространство Интернета как допустимое в частной подсети в сетевых ACL. Если в частной подсети отсутствует интернет-шлюз и ее маршрут по умолчанию указывает на экземпляр NAT, публичные интернет-адреса будут поступать только косвенно через экземпляр NAT.
Списки контроля доступа сети VPC полезны для ограничения доступа между экземплярами внутри VPC, но их не зависящая от состояния природа делает их громоздкими для описываемого вами типа конфигурации: они не отслеживают соединения, соответствующие разрешенному исходящему правилу, чтобы разрешить соответствующий входящий трафик, поэтому вам приходится прибегать к аппроксимации, разрешая эфемерные диапазоны портов для входящего трафика.
Более гибкий подход заключается в использовании комбинации маршрутизации VPC, отсутствия интернет-шлюза в частной подсети и хорошей iptablesконфигурации в экземпляре NAT для управления трафиком в публично маршрутизируемое IP-пространство и из него, при этом сетевой ACL для экземпляров частной подсети остается разрешительным по умолчанию в отношении публично маршрутизируемого IP-пространства. В такой среде размещение в частной подсети достаточно для защиты экземпляров от любого внешнего трафика, который не пропускает экземпляр NAT.