Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

为什么VPC流日志中没有NAT网关的入向日志?

0

【以下的问题经过翻译处理】 我在一个空的VPC中只有一个NAT网关,但是看到了一些奇怪的VPC流日志条目。大部分时间,我只看到一半的TCP流,从外部IP到我的NAT网关,没有回程路径。

我想知道这是否与NAT网关的Internet连接监控有关,所以有人可以提供一些见解吗?

你可以简单地重现这个问题:

1.创建一个带有NAT网关的VPC 2.启用VPC流日志 3.检查日志,你将看到日志中的活动

以下是我在VPC流日志中观察到的一些条目(最奇怪的是最后一个具有源端口12022和目标端口0的条目)

Timestamp Message

2022-05-24T17:39:29.000+02:00	2 ************* eni-0ee10eb2f451143fe - - - - - - - 1653406769 1653406801 - NODATA

2022-05-24T17:39:32.000+02:00	2 ************* eni-0ee10eb2f451143fe 134.122.110.201 10.0.8.0 47621 64109 6 1 40 1653406772 1653406773 ACCEPT OK

2022-05-24T17:39:38.000+02:00	2 ************* eni-0ee10eb2f451143fe - - - - - - - 1653406778 1653406809 - NODATA

2022-05-24T17:39:41.000+02:00	2 ************* eni-0ee10eb2f451143fe - - - - - - - 1653406781 1653406812 - NODATA

2022-05-24T17:39:57.000+02:00	2 ************* eni-0ee10eb2f451143fe - - - - - - - 1653406797 1653406828 - NODATA

2022-05-24T17:40:02.000+02:00	2 ************* eni-0ee10eb2f451143fe 185.191.34.200 10.0.8.0 44435 26646 6 1 40 1653406802 1653406802 ACCEPT OK

2022-05-24T17:40:09.000+02:00	2 ************* eni-0ee10eb2f451143fe 47.106.199.57 10.0.8.0 8082 11211 17 1 115 1653406809 1653406824 ACCEPT OK

2022-05-24T17:40:09.000+02:00	2 ************* eni-0ee10eb2f451143fe 178.128.10.117 10.0.8.0 46673 2230 6 1 40 1653406809 1653406824 ACCEPT OK

2022-05-24T17:40:23.000+02:00	2 ************* eni-0ee10eb2f451143fe 162.142.125.253 10.0.8.0 27962 62902 6 1 44 1653406823 1653406823 ACCEPT OK

2022-05-24T17:40:38.000+02:00	2 ************* eni-0ee10eb2f451143fe 192.241.220.32 10.0.8.0 55482 443 6 1 40 1653406838 1653406839 ACCEPT OK

2022-05-24T17:40:39.000+02:00	2 ************* eni-0ee10eb2f451143fe 59.126.10.182 10.0.8.0 12022 0 6 1 60 1653406839 1653406839 ACCEPT OK

2022-05-24T17:40:41.000+02:00	2 ************* eni-0ee10eb2f451143fe - - - - - - - 1653406841 1653406872 - NODATA

2022-05-24T17:40:57.000+02:00	2 ************* eni-0ee10eb2f451143fe - - - - - - - 1653406857 1653406888 - NODATA
Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon VPCVPC-Flow-Protokolle
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten15 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 这在这篇知识中心文章中有详细解释。

NAT网关不接受从互联网发起的流量。我想告诉你的是,即使VPC流日志显示外部服务的流量已经在NAT网关ENI上被接受,但实际上这些流量已经被丢弃了。如果安全组和NACLs允许流量,则VPC流日志将显示入站流量已被接受。然而,实际的流量并未被NAT网关接受并被丢弃了。

这也在文档中提到。

NAT网关是一项网络地址转换(NAT)服务。你可以使用NAT网关,以便位于私有子网中的实例可以连接您VPC之外的服务 但外部服务无法与这些实例建立连接

位于私有子网中的实例可以通过公共NAT网关连接互联网,但不能接收来自互联网的未经请求的入站连接

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt