Estou vendo tráfego de entrada nos logs de fluxo da VPC do meu gateway NAT público. Meu gateway NAT público está aceitando tráfego de entrada da Internet?

5 minuto de leitura

Meus logs de fluxo da nuvem privada virtual (VPC) mostram Action = ACCEPT para tráfego de entrada proveniente de endereços IP públicos. No entanto, no meu entendimento dos gateways de conversão de endereços de rede (NAT) eles não aceitam tráfego da Internet. Meu gateway NAT está aceitando tráfego de entrada da Internet?

Resolução

Os gateways NAT gerenciados pela AWS não aceitam tráfego iniciado pela Internet. No entanto, há dois motivos pelos quais as informações nos logs de fluxo da VPC podem parecer indicar que o tráfego de entrada está sendo aceito da Internet.

Motivo 1: o tráfego de entrada da Internet é permitido pelo seu grupo de segurança ou pelas listas de controle de acesso à rede (ACL)

Os logs de fluxo da VPC mostrarão o tráfego de entrada da Internet como aceito se o tráfego for permitido pelo seu grupo de segurança ou pelas ACLs da rede. Se as ACLs de rede conectadas a um gateway NAT não negarem explicitamente o tráfego da Internet, o tráfego do gateway NAT parecerá aceito. No entanto, o tráfego não será realmente aceito pelo gateway NAT e será descartado.

Para confirmar, faça o seguinte:

Abra o console do Amazon CloudWatch.
No painel de navegação, escolha Insights.
No menu suspenso, selecione o grupo de logs que contém a interface de rede elástica do gateway NAT e a interface de rede elástica da instância privada.
Execute a consulta abaixo.

filter (dstAddr like 'xxx.xxx' and srcAddr like 'public IP')
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| limit 10

Observação: você pode usar apenas os dois primeiros octetos no filtro de pesquisa para analisar todas as interfaces de rede na VPC. No exemplo acima, substitua xxx.xxx pelos dois primeiros octetos do Encaminhamento Entre Domínios Sem Classificação (CIDR) da VPC. Além disso, substitua o IP público pelo IP público que você está vendo na entrada do log de fluxo da VPC.

Os resultados da consulta mostram tráfego no IP privado do gateway NAT do IP público, mas não tráfego em outros IPs privados na VPC. Esses resultados confirmam que o tráfego de entrada não foi solicitado. No entanto, se você ver tráfego no IP da instância privada, siga as etapas em Motivo 2.

Motivo 2: o tráfego para o IP público foi iniciado de uma instância privada

Se houver instâncias privadas usando o gateway NAT para acesso à Internet, o log de fluxo da VPC incluirá o tráfego de resposta do endereço IP público. Para confirmar que o tráfego para o IP público foi iniciado em sua instância privada, execute a consulta abaixo:

Observação: antes de executar a consulta, faça o seguinte:

Selecione o período de tempo que corresponde ao período em que você observou o tráfego nos logs de fluxo da VPC.
Se você tiver vários grupos de logs em sua VPC, selecione o apropriado.

filter (dstAddr like 'public IP' and srcAddr like 'xxx.xxx') or (srcAddr like 'public IP' and dstAddr like 'xxx.xxx')
| limit 10

Certifique-se de substituir xxx.xxx pelos dois primeiros octetos do CIDR da VPC. Substitua o IP público pelo IP público que você está vendo na entrada do log de fluxo da VPC. Aumente o limite se mais de 10 recursos em sua VPC tiverem iniciado o tráfego para o IP público.

Os resultados da consulta mostram tráfego bidirecional entre a instância privada e os endereços IP públicos. Para determinar se a instância privada ou o endereço IP público externo é o iniciador, consulte o exemplo a seguir:

2022-09-28T12:05:18.000+10:00 eni-023466675b6xxxxxx 10.0.101.222 8.8.8.8 53218 53 6(17) 4 221 1664330718 1664330746 ACCEPT OK
2022-09-28T12:05:18.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.101.222 53 53218 6(17) 4 216 1664330718 1664330746 ACCEPT OK

Neste exemplo de tráfego TCP/UDP (ID de protocolo = 6 ou 17), o endereço IP privado 10.0.101.222 com a porta de origem 53218 (porta efêmera) é o iniciador. O endereço IP 8.8.8.8 com a porta de destino 53 é o receptor e o respondente. Observação: é uma prática recomendada ativar o campo do sinalizador TCP para o log de fluxo da VPC.

Por exemplo, as seguintes entradas têm o campo do sinalizador TCP na última coluna:

2022-09-28T12:05:52.000+10:00 eni-023466675b6xxxxxx 10.0.1.231 8.8.8.8 50691 53 6(17) 3 4 221 1664330752 1664330776 ACCEPT OK 2
2022-09-28T12:05:21.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.1.231 53 50691 6(17) 19 4 216 1664330721 1664330742 ACCEPT OK 18

O endereço IP privado 10.0.101.222 é o iniciador com o sinalizador TCP 2, que representa um pacote TCP SYN.

No seguinte exemplo de protocolo ICMP, não há informações suficientes para determinar qual lado é o iniciador porque não há informações de porta ou sinalizador TCP:

2022-09-27T17:57:39.000+10:00 eni-023466675b6xxxxxx 10.0.1.231 8.8.8.8 0 0 1 17 1428 1664265459 1664265483 ACCEPT OK
2022-09-27T17:57:39.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.1.231 0 0 1 0 17 1428 1664265459 1664265483 ACCEPT OK

O formato da entrada do seu log de fluxo depende de como ela foi criada. Para obter mais informações sobre formatos de linha de log, consulte Visualizar logs de fluxo.

Informações relacionadas

Como registrar tráfego IP em log usando logs de fluxo da VPC

Consultas de exemplo

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Como encontrar os principais contribuidores do tráfego do gateway NAT em uma Amazon VPC?
AWS OFICIALAtualizada há 6 meses
Como configurar um gateway NAT para uma sub-rede privada na Amazon VPC?
AWS OFICIALAtualizada há 7 meses
Como posso configurar o NAT no meu VPC CIDR para tráfego que atravessa uma conexão VPN?
AWS OFICIALAtualizada há 2 anos
Como solucionar problemas de conectividade ao usar o gateway NAT em uma Amazon VPC privada?
AWS OFICIALAtualizada há 6 meses