Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

Veo tráfico entrante en los registros de flujo de VPC en mi puerta de enlace de NAT pública. ¿Mi puerta de enlace de NAT pública acepta tráfico entrante de Internet?

5 minutos de lectura
0

Los registros de flujo de la nube virtual privada (VPC) muestran Action = ACCEPT para el tráfico entrante que proviene de direcciones IP públicas. Sin embargo, tengo entendido que las puertas de enlace de traducción de direcciones de red (NAT) no aceptan tráfico de Internet. ¿Mi puerta de enlace de NAT acepta tráfico entrante de Internet?

Resolución

Las puertas de enlace de NAT administradas por AWS no aceptan tráfico iniciado desde Internet. Sin embargo, hay dos motivos por los que puede aparecer información en los registros de flujo de VPC que indican que se acepta tráfico entrante desde Internet.

Motivo #1: El tráfico entrante de Internet está permitido por su grupo de seguridad o por las listas de control de acceso (ACL) de red

Los registros de flujo de VPC muestran el tráfico de Internet entrante como aceptado si el tráfico está permitido por el grupo de seguridad o las ACL de red. Si las ACL de red conectadas a una puerta de enlace de NAT no deniegan explícitamente el tráfico de Internet, el tráfico a la puerta de enlace de NAT aparece como aceptado. Sin embargo, la puerta de enlace de NAT no acepta realmente el tráfico y se descarta.

Para confirmarlo, haga lo siguiente:

  1. Abra la consola de Amazon CloudWatch.
  2. En el panel de navegación, seleccione Información.
  3. En el menú desplegable, seleccione el grupo de registros que contiene la interfaz de red elástica de la puerta de enlace de NAT y la interfaz de red elástica de la instancia privada.
  4. Ejecute la consulta que aparece a continuación.
filter (dstAddr like 'xxx.xxx' and srcAddr like 'public IP')
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| limit 10

Nota: Puede utilizar solo los dos primeros octetos del filtro de búsqueda para analizar todas las interfaces de red de la VPC. En el ejemplo anterior, sustituya xxx.xxx por los dos primeros octetos del enrutamiento entre dominios sin clases (CIDR) de su VPC. Además, sustituya la IP pública por la IP pública que ve en la entrada del registro de flujo de VPC.

Los resultados de la consulta muestran el tráfico de la IP privada de la puerta de enlace de NAT desde la IP pública, pero no el tráfico de otras IP privadas de la VPC. Estos resultados confirman que el tráfico entrante no fue solicitado. Sin embargo, si ve tráfico en la IP de la instancia privada, siga los pasos que se indican en el motivo #2.

Motivo #2: El tráfico a la IP pública se ha iniciado desde una instancia privada

Si hay instancias privadas que utilizan la puerta de enlace de NAT para acceder a Internet, el registro de flujo de su VPC incluye el tráfico de respuesta desde la dirección IP pública. Para confirmar que el tráfico a la IP pública se ha iniciado desde su instancia privada, ejecute la siguiente consulta:

Nota: Antes de ejecutar la consulta, haga lo siguiente:

  • Seleccione el período de tiempo que se corresponda con el período en el que observó el tráfico en los registros de flujo de VPC.
  • Si tiene varios grupos de registro en su VPC, seleccione el que corresponda.
filter (dstAddr like 'public IP' and srcAddr like 'xxx.xxx') or (srcAddr like 'public IP' and dstAddr like 'xxx.xxx')
| limit 10

Asegúrese de sustituir xxx.xxx por los dos primeros octetos del CIDR de su VPC. Sustituya la IP pública por la IP pública que ve en la entrada del registro de flujo de VPC. Aumente el límite si más de 10 recursos de su VPC han iniciado tráfico hacia la IP pública.

Los resultados de la consulta muestran el tráfico bidireccional entre la instancia privada y las direcciones IP públicas. Para determinar si la instancia privada o la dirección IP pública externa es el iniciador, consulte el siguiente ejemplo:

2022-09-28T12:05:18.000+10:00 eni-023466675b6xxxxxx 10.0.101.222 8.8.8.8 53218 53 6(17) 4 221 1664330718 1664330746 ACCEPT OK
2022-09-28T12:05:18.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.101.222 53 53218 6(17) 4 216 1664330718 1664330746 ACCEPT OK

En este ejemplo de tráfico TCP/UDP (ID de protocolo = 6 o 17), la dirección IP privada 10.0.101.222 con el puerto de origen 53218 (puerto efímero) es el iniciador. La dirección IP 8.8.8.8 con puerto de destino 53 es el receptor y el sistema de respuesta. Nota: Se recomienda activar el campo de indicador de TCP para su registro de flujo de VPC.

Por ejemplo, las siguientes entradas tienen un campo de indicador de TCP en la última columna:

2022-09-28T12:05:52.000+10:00 eni-023466675b6xxxxxx 10.0.1.231 8.8.8.8 50691 53 6(17) 3 4 221 1664330752 1664330776 ACCEPT OK 2
2022-09-28T12:05:21.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.1.231 53 50691 6(17) 19 4 216 1664330721 1664330742 ACCEPT OK 18

La dirección IP privada 10.0.101.222 es el iniciador con el iniciador de TCP 2, que representa un paquete TCP SYN.

En el siguiente ejemplo de protocolo ICMP, no hay suficiente información para determinar de qué lado está el iniciador porque no hay información de puerto ni indicador de TCP:

2022-09-27T17:57:39.000+10:00 eni-023466675b6xxxxxx 10.0.1.231 8.8.8.8 0 0 1 17 1428 1664265459 1664265483 ACCEPT OK
2022-09-27T17:57:39.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.1.231 0 0 1 0 17 1428 1664265459 1664265483 ACCEPT OK

El formato de la entrada del registro de flujo depende de cómo se ha creado. Para obtener más información sobre los formatos de líneas de registro, consulte Ver registros de flujo.

Información relacionada

Registro del tráfico de IP con registros de flujo de la VPC

Consultas de ejemplo

Temas
Redes y entrega de contenido
Etiquetas
Amazon VPC
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año

Contenido relevante