Проверьте подключение к шлюзу NAT через брандмауэр.

tag-icon tag-icon amazon-web-services nat amazon-vpc
Проверьте подключение к шлюзу NAT через брандмауэр.

Я создал VPC в aws и добавил шлюз NAT, чтобы мои экземпляры в VPC могли потреблять другие ресурсы в Интернете. Некоторые из этих ресурсов принадлежат третьей стороне и находятся за брандмауэром, для которого нужно добавить IP-адреса моих шлюзов NAT, чтобы я мог успешно подключиться. Они утверждают, что добавили мои IP-адреса, но не могут проверить, потому что в истинной природе шлюзов NAT они не могут пинговать/telnet-запросить ответ на IP-адреса моих шлюзов NAT. Есть ли у них возможность проверить, могут ли они установить соединение с IP-адресами моих шлюзов NAT?

решение1

Могут ли они каким-либо образом проверить, могут ли они установить соединение с моими IP-адресами шлюза NAT?

Нет, они не смогут подключиться к вашим ресурсам.Тынеобходимо подключиться кихизнутри вашего VPC.

Однако вы уверены, что вашмаршрутизациячерез NAT вообще работает? Для VPC NAT обычно нужно как минимум 2 подсети:

  1. ДМЗ(илипубличный) тот, который имеетИГВ(Интернет-шлюз) подключен и где ресурсы имеют публичный или эластичный IP-адрес. Маршрут по умолчанию вТаблица маршрутов 0.0.0.0/0указывает наИГВ. Вот где вы настраиваете свойNAT-шлюз.

  2. Частныйподсеть, где маршрут по умолчанию 0.0.0.0/0указывает наNAT-шлюзи ресурсы (экземпляры) не имеют публичных IP-адресов.

Если у вас есть эти 2 подсети, создайте экземпляр EC2 в частной подсети и попробуйте подключиться к интернету, например, сделайте это curl http://ifconfig.co- если он возвращается с Elastic IP вашего шлюза NAT, ваша маршрутизация работает. Если тайм-аут, значит, он неправильно настроен, и вам нужно будет покопаться в этом подробнее.

Только когда у вас заработает общий доступ в ИнтернетзатемВы можете работать с третьей стороной, чтобы убедиться,ихнастроен правильно.

Обновлять

Для проверки со своей стороны им придется настроить ведение журнала сетевого трафика для вашего NAT IP и проверить, что

  1. трафик поступает от вас на их внешний интерфейс, и
  2. что трафик проходит через их брандмауэр, чтобы достичь целевой внутренней системы.

В Linux они могут использовать, например, tcpdumpдля мониторинга трафика, на Cisco или других маршрутизаторах HW у них будут свои собственные инструменты. Им нужно проверить, что ваш трафик проходит через них.

Связанный контент