Meu cérebro está um pouco frito tentando descobrir isso, mas não consigo obter sub-redes privadas para se conectar à internet para pegar atualizações, por exemplo. Basicamente tudo que eu quero é acesso à web para esses servidores. Eu tentei soluções encontradas em outros posts, mas poderia facilmente estar faltando alguma coisa desde que eu tenho olhado isso por um bom tempo.
Até agora, fiz a seguinte configuração:
Eu sou capaz de pular na instância NAT via SSH e, em seguida, girar para o servidor privado, então eu sei que muito está funcionando. Verifiquei minhas regras fazendo ping de endereços internos, mas quando deixo a rede local é quando começo a ter problemas.
Onde preciso procurar ou o que preciso solucionar para ajudar a reduzir isso? Existe alguma configuração que precisa ser feita na instância do NAT que negligenciei?
EDIT: atualização da configuração
Tabela de roteamento de sub-rede privada:
Aponta para a instância NAT na sub-rede pública. Não é possível acessar a internet, anexar o EIP à interface pública voltada para a Internet.
Tabeladeroteamentodesub-redepública:
Apontaasub-redepúblicanoIGW,verifiqueioacessoàInternet.
Pensamentos:
Estou começando a pensar que há algo que precisa ser configurado ou criado na instância NAT que reside na sub-rede pública para encaminhar o tráfego de instâncias privadas, mas não sei exatamente o que precisa ser adicionado. Eu encontrei esta postagem que explica adicionar uma regra de masquerade no iptables, é algo que se aplica à minha situação?
sim, você deve ter o masquerading do iptables configurado no host nat.
iptables -A POSTROUTING -t nat -s (private-subnet/cidr) -j MASQUERADE
temos a mesma configuração, você fez tudo corretamente (desabilitar a verificação de fonte, apontar a sub-rede privada para a interface da instância nat, apontar a sub-rede pública para o igw).
Apenas encontrei um problema parecido. Supondo que você tenha usado o assistente para criar a instância NAT, a regra de mascarada mencionada acima já estaria lá - isso é algo que você precisa adicionar se for "rolar sua própria" instância de NAT. (Eu geralmente faço isso para que eu possa duplicar isso e também torná-lo um servidor VPN de usuário remoto OpenSWAN L2TP / IPSec).
O que eu tinha esquecido de adicionar desde a última vez que criei um deles, eram regras que permitem todo o tráfego (ou pelo menos o que você deseja permitir) de todos os grupos de segurança ou sub-redes que rotearão o tráfego pela instância NAT . A instância NAT não aceitará esse tráfego de saída sem regras para permitir isso - não pense apenas no que está vindo da Internet para chegar até ele. Não tenho certeza se esse é o seu problema, como você mencionou adicionando 22/80/443 ao seu grupo de segurança NAT, mas pensei em sugerir isso para outras pessoas que possam ter um problema semelhante.
Eu lutei com isso por um tempo, até que encontrei isto:
Then, launch an instance into your public subnet from an AMI that's been configured to run as a NAT instance. Amazon provides Amazon Linux AMIs that are configured to run as NAT instances. These AMIs include the string amzn-ami-vpc-nat in their names, so you can search for them in the Amazon EC2 console.
Eu configurei o servidor NAT como minha própria instância padrão (Ubuntu), uma vez que usei o Amazon Linux AMI e atualizei minhas tabelas de roteamento, ele começou a funcionar.
Tags amazon-ec2 routing nat amazon-vpc