¿Por qué mi instancia de Amazon EC2 en una subred privada no puede conectarse a Internet con una puerta de enlace NAT?

4 minutos de lectura

Creé una puerta de enlace NAT para acceder a Internet desde mi instancia de Amazon Elastic Compute Cloud (EC2). Mi instancia usa puertos HTTP o HTTPS en una subred privada, pero no puede acceder a Internet.

Resolución

Compruebe que las instancias cumplan las siguientes condiciones:

1. El destino a través de la comprobación del destino desde otra fuente mediante una dirección IP pública.

2. Verifique que el estado de la puerta de enlace NAT sea Available (Disponible). Si la puerta de enlace NAT se encuentra en el estado Error, consulte Errores de creación de puertas de enlace NAT.

Nota: una puerta de enlace NAT cuyo estado es Failed (Error) se elimina automáticamente después de aproximadamente una hora.

3. Asegúrese de haber creado la puerta de enlace NAT en una subred pública y de que la tabla de enrutamiento pública tenga una ruta predeterminada que apunte a una puerta de enlace de Internet.

4. La tabla de enrutamiento de la subred privada tiene una ruta predeterminada que apunta a la puerta de enlace NAT.

Importante: asegúrese de que no está utilizando la misma tabla de enrutamiento tanto para la subred privada como para la pública. El uso de la misma tabla de enrutamiento significa que el tráfico no se dirige a Internet.

5. El atributo enableDNSSupport se establece como true en la VPC. Para obtener más información, consulte Ver y actualizar los atributos de DNS de la VPC.

Nota: active el DNS para evitar errores en la resolución de DNS.

6. Los firewalls no bloquean el tráfico en los puertos 80 (para tráfico HTTP) y 443 (para tráfico HTTPS). Asegúrese de comprobar si hay un firewall que bloquee el tráfico en el host de destino. Puede usar el siguiente comando de ejemplo para comprobar si hay firewalls:

$ telnet PUBLIC_IP TCP_PORT

7. El grupo de seguridad adjunto a la interfaz de red elástica de la instancia permite el tráfico saliente a los puertos 80 y 443. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux o Grupos de seguridad de Amazon EC2 para instancias de Windows.

8. Los dos ejemplos siguientes tienen reglas que permiten el tráfico entrante y saliente en los puertos 80 y 443 con la dirección IP de destino 0.0.0.0/0:

Las listas de control de acceso (ACL) de red asociadas a la subred privada en la que se encuentra la instancia.
Las ACL de red asociadas a la subred pública en la que se encuentra la puerta de enlace NAT.

Para permitir que sus instancias de Amazon EC2 accedan a un sitio web HTTPS, la ACL de red asociada a la subred de puerta de enlace NAT debe tener las reglas que se indican a continuación:

Reglas de entrada


Origen	Protocolo	Rango de puertos	Permitir o denegar
CIDR de la VPC	TCP	443	PERMITIR
PUBLIC_IP	TCP	1024-65535	PERMITIR

Reglas de salida


Destino	Protocolo	Rango de puertos	Permitir o denegar
PUBLIC_IP	TCP	443	PERMITIR
CIDR de la VPC	TCP	1024-65535	PERMITIR

Para más información sobre la configuración de ACL de red, consulte Trabajar con ACL de red.

Información relacionada

Puertas de enlace NAT

Configurar tablas de enrutamiento

Temas

Calcular

Etiquetas

Amazon EC2 Windows Linux

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Cómo configuro un AWS Network Firewall con una puerta de enlace NAT?
OFICIAL DE AWSActualizada hace 3 meses
¿Cómo otorgo acceso a Internet a una función de Lambda conectada a una Amazon VPC?
OFICIAL DE AWSActualizada hace 3 meses
¿Cómo puedo solucionar problemas de conectividad al usar la puerta de enlace NAT en mi VPC privada?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo conectarme a una instancia de base de datos privada de Amazon RDS desde un equipo local con una instancia de Amazon EC2 que actúe como un host bastión?
OFICIAL DE AWSActualizada hace 5 meses