Назад | Перейти на главную страницу

Проверьте подключение к шлюзу NAT через брандмауэр.

Я создал VPC в aws и добавил шлюз NAT, чтобы мои экземпляры в VPC могли использовать другие ресурсы в Интернете. Некоторые из этих ресурсов принадлежат третьим лицам и находятся за брандмауэром, для которого должны быть добавлены IP-адреса моих шлюзов NAT, чтобы я мог успешно подключиться. Они утверждают, что добавили мои IP-адреса, но они не могут проверить, потому что в истинной природе шлюзов NAT они не могут ping / telnet мои IP-адреса шлюза NAT с ответом. Могут ли они каким-либо образом проверить, могут ли они установить соединение с IP-адресами моего шлюза NAT?

Могут ли они каким-либо образом проверить, могут ли они установить соединение с IP-адресами моего шлюза NAT?

Нет, они не смогут подключиться к вашим ресурсам. Вы должен подключиться к их изнутри вашего VPC.

Однако вы уверены, что ваш маршрутизация через NAT реально работает? Для VPC NAT обычно требуется как минимум 2 подсети:

  1. DMZ (или общественный) тот, который имеет IGW (Интернет-шлюз), и ресурсы имеют общедоступный или эластичный IP-адрес. Маршрут по умолчанию в Таблица маршрутов 0.0.0.0/0 указывает на IGW. Вот где вы настроили свой NAT-шлюз.

  2. Частный подсеть, где маршрут по умолчанию 0.0.0.0/0 указывает на NAT-шлюз а ресурсы (экземпляры) не имеют общедоступных IP-адресов.

Если у вас есть эти 2 подсети, создайте экземпляр EC2 в частной подсети и попробуйте подключиться к Интернету, например делать curl http://ifconfig.co - если он возвращается с эластичным IP-адресом вашего NAT-шлюза, ваша маршрутизация работает. Если время истекает, значит, он настроен неправильно, и вам нужно еще немного вникнуть.

Только когда у вас будет общий доступ в Интернет затем вы можете работать со своим сторонним лицом, чтобы убедиться, что их настроен правильно.

Обновить

Чтобы проверить на своей стороне, им нужно будет настроить ведение журнала сетевого трафика для вашего NAT IP и убедиться, что

  1. трафик поступает от вас на их внешний интерфейс, и
  2. этот трафик проходит через их брандмауэр, чтобы достичь целевой внутренней системы.

В Linux они могут использовать, например, tcpdump для мониторинга трафика на Cisco или других маршрутизаторах HW у них будут свои инструменты. Они должны убедиться, что ваш трафик проходит.