Я создал VPC в aws и добавил шлюз NAT, чтобы мои экземпляры в VPC могли потреблять другие ресурсы в Интернете. Некоторые из этих ресурсов принадлежат третьей стороне и находятся за брандмауэром, для которого нужно добавить IP-адреса моих шлюзов NAT, чтобы я мог успешно подключиться. Они утверждают, что добавили мои IP-адреса, но не могут проверить, потому что в истинной природе шлюзов NAT они не могут пинговать/telnet-запросить ответ на IP-адреса моих шлюзов NAT. Есть ли у них возможность проверить, могут ли они установить соединение с IP-адресами моих шлюзов NAT?
решение1
Могут ли они каким-либо образом проверить, могут ли они установить соединение с моими IP-адресами шлюза NAT?
Нет, они не смогут подключиться к вашим ресурсам.Тынеобходимо подключиться кихизнутри вашего VPC.
Однако вы уверены, что вашмаршрутизациячерез NAT вообще работает? Для VPC NAT обычно нужно как минимум 2 подсети:
ДМЗ(илипубличный) тот, который имеетИГВ(Интернет-шлюз) подключен и где ресурсы имеют публичный или эластичный IP-адрес. Маршрут по умолчанию вТаблица маршрутов
0.0.0.0/0
указывает наИГВ. Вот где вы настраиваете свойNAT-шлюз.Частныйподсеть, где маршрут по умолчанию
0.0.0.0/0
указывает наNAT-шлюзи ресурсы (экземпляры) не имеют публичных IP-адресов.
Если у вас есть эти 2 подсети, создайте экземпляр EC2 в частной подсети и попробуйте подключиться к интернету, например, сделайте это curl http://ifconfig.co
- если он возвращается с Elastic IP вашего шлюза NAT, ваша маршрутизация работает. Если тайм-аут, значит, он неправильно настроен, и вам нужно будет покопаться в этом подробнее.
Только когда у вас заработает общий доступ в ИнтернетзатемВы можете работать с третьей стороной, чтобы убедиться,ихнастроен правильно.
Обновлять
Для проверки со своей стороны им придется настроить ведение журнала сетевого трафика для вашего NAT IP и проверить, что
- трафик поступает от вас на их внешний интерфейс, и
- что трафик проходит через их брандмауэр, чтобы достичь целевой внутренней системы.
В Linux они могут использовать, например, tcpdump
для мониторинга трафика, на Cisco или других маршрутизаторах HW у них будут свои собственные инструменты. Им нужно проверить, что ваш трафик проходит через них.