Como configurar um NAT personalizado para uso no Amazon VPC

Navegue suas respostas
15

Eu tenho uma caixa do Ubuntu que desejo usar como instância do NAT (entre outras coisas). Eu preferiria evitar usar as AMIs NAT fornecidas pela Amazon e, em vez disso, configurar o NAT.

Atualmente, meu host tem uma única interface de rede (conforme mostrado no link ).

Devo ser capaz de configurar meu host Ubuntu como a instância NAT dos outros hosts da minha rede Amazon? 

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       5      454 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Eu tentei configurar uma regra NAT no host Ubuntu (10.200.0.51). Meu segundo host está em uma rede diferente (10.200.10.41/24). Então eu escrevi: 

route add -net 10.200.0.0 netmask 255.255.255.0 dev eth0 # So I can reach 10.200.0.51
route add default gw 10.200.0.51

Mas a máquina perdeu a conexão.

O que eu estou entendendo errado sobre o uso de instâncias NAT e roteamento na Amazon?

    
por jjmontes 10.07.2012 / 13:37

3 respostas

18

Eu instalei uma Amazon NAT AMI e verifiquei a configuração relevante: 

[root@ip-10-200-0-172 ec2-user]# iptables -L -n -v -x -t nat
Chain PREROUTING (policy ACCEPT 11 packets, 660 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 11 packets, 660 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 357 packets, 24057 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
     357    24057 MASQUERADE  all  --  *      eth0    10.200.0.0/16        0.0.0.0/0

[root@ip-10-200-0-172 ec2-user]# cat /proc/sys/net/ipv4/ip_forward 
1

Além disso, a máquina precisa ter um IP público, e a verificação de Sourc / Dest precisa ser desativada.

Esta máquina pode então ser usada como instância NAT.

O roteamento para outros hosts é configurado no nível EC2 (usando o recurso "Tabela de roteamento").

    
por 10.07.2012 / 20:28
22

Você pode verificar o script da Amazon para configurar o NAT em uma máquina Linux, ele vem com sua AMI padrão ami-vpc-nat, em /usr/local/sbin/configure-pat.sh

Parece assim: 

#!/bin/bash
# Configure the instance to run as a Port Address Translator (PAT) to provide 
# Internet connectivity to private instances. 

function log { logger -t "vpc" -- $1; }

function die {
    [ -n "$1" ] && log "$1"
    log "Configuration of PAT failed!"
    exit 1
}

# Sanitize PATH
PATH="/usr/sbin:/sbin:/usr/bin:/bin"

log "Determining the MAC address on eth0..."
ETH0_MAC=$(cat /sys/class/net/eth0/address) ||
    die "Unable to determine MAC address on eth0."
log "Found MAC ${ETH0_MAC} for eth0."

VPC_CIDR_URI="http://169.254.169.254/latest/meta-data/network/interfaces/macs/${ETH0_MAC}/vpc-ipv4-cidr-block"
log "Metadata location for vpc ipv4 range: ${VPC_CIDR_URI}"

VPC_CIDR_RANGE=$(curl --retry 3 --silent --fail ${VPC_CIDR_URI})
if [ $? -ne 0 ]; then
   log "Unable to retrive VPC CIDR range from meta-data, using 0.0.0.0/0 instead. PAT may be insecure!"
   VPC_CIDR_RANGE="0.0.0.0/0"
else
   log "Retrieved VPC CIDR range ${VPC_CIDR_RANGE} from meta-data."
fi

log "Enabling PAT..."
sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0 && (
   iptables -t nat -C POSTROUTING -o eth0 -s ${VPC_CIDR_RANGE} -j MASQUERADE 2> /dev/null ||
   iptables -t nat -A POSTROUTING -o eth0 -s ${VPC_CIDR_RANGE} -j MASQUERADE ) ||
       die

sysctl net.ipv4.ip_forward net.ipv4.conf.eth0.send_redirects | log
iptables -n -t nat -L POSTROUTING | log

log "Configuration of PAT complete."
exit 0
    
por 10.07.2013 / 06:02
3

Existem algumas instruções que me ajudaram.

Notas:

  • 10.0.0.23 - ip privado da instância, que decidi fazer como "nat-instance", essa instância com EIP.
  • 10.0.0.0/24 - sub-rede de vpc

Em "nat-instance", como usuário root: 

sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0
iptables -t nat -C POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE 2> /dev/null || iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

depois disso: 

[sysctl file]
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0

[iptables]
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.0.0.0/24          0.0.0.0/0

via console da AWS: 

Grant all traffic from 10.0.0.0/24 (into security groups)
Set disabled source/dest. check (right click on "nat" instance)

Em outros casos, sem EIP: 

sudo route add default gw 10.0.0.23

UPD : Descobri que cada nova instância na minha VPC detectou a Internet corretamente após executar ping no padrão gw.

Então: 

[ec2-user@ip-10-0-0-6 ~]$ ping google.com
PING google.com (173.194.33.71) 56(84) bytes of data.
^C
--- google.com ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2356ms

[ec2-user@ip-10-0-0-6 ~]$ ping 10.0.0.23
PING 10.0.0.230 (10.0.0.23) 56(84) bytes of data.
64 bytes from 10.0.0.23: icmp_seq=1 ttl=64 time=1.22 ms
64 bytes from 10.0.0.23: icmp_seq=2 ttl=64 time=0.539 ms
64 bytes from 10.0.0.23: icmp_seq=3 ttl=64 time=0.539 ms
^C
--- 10.0.0.23 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2500ms
rtt min/avg/max/mdev = 0.539/0.768/1.228/0.326 ms
[ec2-user@ip-10-0-0-6 ~]$ ping google.com
PING google.com (173.194.33.70) 56(84) bytes of data.
64 bytes from sea09s15-in-f6.1e100.net (173.194.33.70): icmp_seq=1 ttl=55 time=13.5 ms
64 bytes from sea09s15-in-f6.1e100.net (173.194.33.70): icmp_seq=2 ttl=55 time=14.2 ms

Eu sei, isso não é um problema, mas pode economizar algum tempo

    
por 20.01.2014 / 10:28

Tags

O que é um servidor / roteador / dispositivo de borda? Uma conexão de Internet com largura de banda maior reduzirá o tempo de resposta do ping?