无法在VPC中配置NAT/防火墙实例
0
【以下的问题经过翻译处理】 我有以下拓扑结构:
- VPC 10.10.0.0/16
- 公共子网 10.10.0.0/24,包含了一个Amazon Linux实例(称其为“防火墙”),具有单个NIC、IP地址= 10.10.0.150和EIP = 3.45.120.240(假设的)
- 私有子网 10.10.1.0/24 ,其中包含Windows RDS(10.10.1.10)和Windows AD DS(10.10.1.5)
- 应用于公共子网的路由表将0.0.0.0/0路由到IGW,将10.10.0.0/16路由到本地
- 应用于私有子网的路由表,将0.0.0.0/0路由到防火墙NIC,将10.10.0.0/16路由到本地
- 启用了内核路由(ip_forward = 1),过滤器表链(input/forward/output)已配置为ACCEPT
- 我在防火墙上使用iptables,将入站3.45.120.240:3388的DNAT转发到10.10.1.10:3389,以及Masquerade(SNAT)出站 基本上,私有子网中的任何实例都通过具有公共IP地址3.45.120.240的防火墙进行路由进出。我注意到私有实例的默认网关为10.10.1.1。我假设这是绑定到VPC的IP?
我最近使用具有相同配置的Amazon Linux构建了一个新的防火墙(除了私有IP = 10.10.0.254和EIP = 45.67.3.43(虚构))。我想用新的防火墙替换旧的防火墙。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 首先,请确保您已关闭防火墙实例的源/目的地检查 NAT实例文档。
其次,您可以使用VPC流日志查看VPC中数据包的路由情况。
第三,VPC是一种overlay网络,因此不一定像本地网络一样运作。在这里需要注意的事项是Another Day Another Billions Flows,但由于这需要时间,所以在VPC中发生的一件事是流路由已被缓存,因此当您更改路由时,您可能无法立即看到数据包沿着“新”的路线流动。您可以尝试停止现有的“ping”,或尝试向另一个目标发送ICMP回显请求。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 6 个月前
- AWS 官方已更新 2 年前