我在 aws 中建立了一個 VPC 並新增了一個 NAT 網關,以便 VPC 中的執行個體可以消耗網路上的其他資源。其中一些資源屬於第三方,並且位於防火牆後面,必須添加我的 NAT 網關 IP 位址才能成功連線。他們聲稱已添加我的 IP 位址,但他們無法驗證,因為在 NAT 網關的本質中,他們無法透過回應 ping/telnet 我的 NAT 網關 IP。他們是否可以驗證是否可以與我的 NAT 網關 IP 建立連線?
答案1
他們是否可以驗證是否可以與我的 NAT 網關 IP 建立連線?
不,他們將無法連接到您的資源。你必須連接到他們從您的 VPC 內部。
然而,您是否確信您的路由透過NAT真的有效嗎?對於 VPC NAT,您通常需要至少 2 個子網路:
非軍事區(或者民眾)一個有IGW連線(網際網路閘道)且資源具有公用或彈性 IP 位址。預設路由在路由表
0.0.0.0/0指向IGW。這就是你設定你的NAT網關。私人的預設路由
0.0.0.0/0指向的子網NAT網關且資源(實例)沒有公共IP。
如果您擁有這 2 個子網,請在私人子網路中建立 EC2 執行個體並嘗試連接到互聯網,例如curl http://ifconfig.co,如果它傳回您的 NAT 網關的彈性 IP,則您的路由將正常運作。如果逾時,則說明配置不正確,您需要對其進行更多研究。
僅當您的一般網路存取正常時然後您可以與您的第三者合作以確保他們的設定正確。
更新
為了進行驗證,他們必須為您的 NAT IP 設定網路流量日誌記錄並驗證
- 流量從您到達其外部接口,並且
- 該流量正在透過其防火牆到達目標內部系統。
在Linux 中,他們可以使用例如tcpdump監控流量,在Cisco 或其他硬體路由器上,他們將擁有自己的工具。由他們來驗證您的流量是否正在通過。