Quiero ver el tráfico que pasa por el punto de enlace de salida de Amazon Route 53 Resolver. ¿Cómo puedo hacerlo?
Descripción corta
Para ver el tráfico que pasa por los puntos de enlace de Route 53 Resolver, configure la
replicación de tráfico de Amazon Virtual Private Cloud (Amazon VPC).
Resolución
Configuración de la conectividad de la red
- Confirme que el grupo de seguridad de la instancia EC2 de destino y la lista de control de acceso a la red (ACL de red) permiten el tráfico entrante en el puerto UDP 4789 desde la interfaz de red elástica del punto de enlace de salida.
- Confirme que la instancia EC2 de destino tiene conectividad con la subred de la interfaz de red del punto de enlace de salida.
- Confirme que el subconjunto de interfaz de red de punto de enlace de salida está configurado para el tráfico saliente para la instancia EC2 en el puerto UPD 4789. La configuración del subconjunto incluye ACL de red, grupos de seguridad y tablas de enrutamiento.
Configuarción de la replicación de tráfico de Amazon VPC
1. Cree un destino de réplica de tráfico mediante la interfaz de red de la instancia EC2 que está utilizando como destino.
2. Cree un filtro de réplica para identificar el tráfico de DNS desde la interfaz de red del punto de enlace de salida hasta el destino de réplica de EC2.
Ejemplo de filtro de réplica para Route 53
Nota: Los valores de ejemplo de esta tabla representan lo siguiente:
- La VPC A está asociada con la regla de resolución de Route 53 para reenviar las consultas DNS del dominio*.test.com a la red local
- La red aloja el dominio *.test.com en las instalaciones
| | |
---|
Valor | Regla de entrada | Regla de salida |
Número de regla | Prioridad regla | Prioridad regla |
Acción de regla | Acepte | Acepte |
Protocolo | UDP y TCP | UDP y TCP |
Rango de puertos de origen | 53 | 1024-65535 |
Rango de puertos de destino | 1024-65535 | 53 |
Bloque de CIDR de origen | CIDR en las instalaciones | VPC A CIDR |
Bloque de CIDR de destino | VPC A CIDR | CIDR en las instalaciones |
3. Cree una sesión de réplica para cada interfaz de red de punto de enlace de salida a la instancia EC2 de réplica. Utilice los siguientes valores:
Mirror source: (Origen de la réplica) interfaz de red del punto de conexión de salida
Mirror target (Destino de la réplica): réplica del tráfico que creó previamente
Session number (Número de sesión): 1
Filter (Filtro): filtro de réplica que creó previamente
Ver el tráfico replicada
Para sistemas operativos Linux
1. Vea los registros de tráfico capturados ejecutando el siguiente comando:
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
Para filename, utilice el filename (nombre de archivo) donde desea almacenar los registros de tráfico capturados. Para eth, utilice el puerto ethernet que desee utilizar en la instancia EC2. 2. Transfiera el archivo desde la instancia EC2 al ordenador local ejecutando el siguiente comando:
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
Para keypair, utilice el keypair (par de claves) que utilizó para iniciar sesión en la instancia. Para filename, utilice el filename (nombre de archivo) donde desea almacenar los registros de tráfico capturados.
3. Abra el archivo de captura para ver los paquetes DNS.
Para sistemas operativos Windows
1. Abra la herramienta Wireshark.
2. Filtre el tráfico utilizando la dirección IP del punto de enlace de resolución de salida.
3. Abra el archivo de captura para ver los paquetes DNS.
Información relacionada
Resolución de consultas del sistema de nombres de dominio (DNS) entre las VPC y la red