¿Por qué mi instancia de Amazon EC2 en una subred privada no puede conectarse a Internet mediante una puerta de enlace de NAT?
He creado una puerta de enlace de NAT para acceder a Internet desde mi instancia de Amazon Elastic Compute Cloud (Amazon EC2). Mi instancia usa puertos HTTP o HTTPS en una subred privada, pero no puede acceder a Internet.
Solución
Compruebe que las instancias cumplan las siguientes condiciones:
1. Se puede acceder al destino haciendo ping al destino desde otro origen mediante una dirección IP pública.
2. La puerta de enlace de NAT está en estado Disponible. Si la puerta de enlace de NAT está en estado Fallido, consulte NAT gateway creation fails.
Nota: Una puerta de enlace de NAT en estado Fallido se elimina automáticamente después de aproximadamente una hora.
3. Ha creado la puerta de enlace de NAT en una subred pública y la tabla de enrutamiento pública tiene una ruta predeterminada que apunta a una puerta de enlace de Internet.
4. La tabla de enrutamiento de la subred privada tiene una ruta predeterminada que apunta a la puerta de enlace de NAT.
Importante: Asegúrese de no usar la misma tabla de enrutamiento para la subred pública y la privada. Si se utiliza la misma tabla de enrutamiento, el tráfico no se dirige a Internet.
5. El atributo enableDnsSupport se establece en true en la VPC. Para obtener más información, consulte View and update DNS attributes for your VPC.
Nota: Active el DNS para evitar errores en la resolución de DNS.
6. Los firewalls no bloquean el tráfico a través de los puertos 80 (para el tráfico HTTP) y 443 (para el tráfico HTTPS). Asegúrese de comprobar si hay un firewall que bloquee el tráfico en el host de destino. Puede usar el siguiente comando de ejemplo para comprobar si hay firewalls:
$ telnet PUBLIC_IP TCP_PORT
7. El grupo de seguridad adjunto a la interfaz de red elástica de la instancia permite el tráfico saliente a los puertos 80 y 443. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux o Grupos de seguridad de Amazon EC2 para instancias de Windows.
8. En los siguientes ejemplos se muestran reglas que permiten el tráfico entrante y saliente en los puertos 80 y 443 mediante la dirección IP de destino 0.0.0.0/0:
- Las listas de control de acceso (ACL) de red asociadas a la subred privada en la que se encuentra la instancia.
- Las ACL de red asociadas a la subred pública en la que se encuentra la puerta de enlace de NAT.
Para permitir que las instancias de Amazon EC2 accedan a un sitio web HTTPS, la ACL de red asociada a la subred de la puerta de enlace de NAT debe tener las siguientes reglas:
Reglas de entrada
| Origen | Protocolo | Intervalo de puertos | Permitir/Denegar |
| VPC CIDR | TCP | 443 | ALLOW |
| PUBLIC_IP | TCP | 1024-65535 | ALLOW |
Reglas de salida
| Destino | Protocolo | Intervalo de puertos | Permitir/Denegar |
| PUBLIC_IP | TCP | 443 | ALLOW |
| VPC CIDR | TCP | 1024-65535 | ALLOW |
Para obtener más información sobre la configuración de las ACL de red, consulte Work with network ACLs.
Información relacionada
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 7 meses
- OFICIAL DE AWSActualizada hace 7 meses