AWS VPC ACL para sub-redes privadas

2

Eu criei um VPC usando o assistente do VPC com duas sub-redes (públicas e privadas) e um NAT na frente da sub-rede privada.

Olhando para a ACL para as sub-redes, havia uma regra para permitir todo o tráfego INBOUND para 0.0.0.0/0 . Eu gostaria de proibir qualquer tráfego de entrada que não seja proveniente do NAT (com IP 10.0.0.8), então altero a ACL para que seja semelhante àquelas em Scenario 2 em link .

Ou seja, ALLOW TODOS OS PROTOCOLOS em TODAS AS PORTAS de 10.0.0.0/16 , com a desaprovação por 0.0.0.0/0 .

Isso não parece funcionar corretamente, pois minha instância não tem acesso à Internet. Há algo mais que eu preciso configurar / alterar para que funcione?

    
por Omar 05.09.2013 / 01:42

1 resposta

6

Endereços IP publicamente roteáveis não são reescritos quando passam pela instância NAT.

Você precisará deixar todo o espaço de endereço público da Internet como permitido na sub-rede privada nas ACLs da rede. Se a sub-rede privada não tiver um gateway de Internet e seus pontos de rota padrão para a instância NAT, os endereços de Internet públicos só chegarão indiretamente por meio da instância NAT.

As ACLs da rede VPC são úteis para limitar o acesso entre instâncias dentro de uma VPC, mas sua natureza sem estado as torna incômodas para o tipo de configuração que você descreve: ela não controla uma conexão que corresponda a uma regra de saída permitida para permitir tráfego de entrada correspondente, por isso você é forçado a se aproximar, permitindo intervalos de porta efêmeros para o tráfego de entrada.

Uma abordagem mais flexível é usar uma combinação de roteamento VPC, a ausência de um gateway da Internet na sub-rede privada e uma boa configuração iptables na instância NAT para controlar o tráfego de e para o espaço IP publicamente roteável; deixando a rede ACL para instâncias de sub-rede privada permissive-by-default em relação ao espaço IP publicamente roteável. Em tal ambiente, o posicionamento na sub-rede privada é suficiente para proteger as instâncias de qualquer tráfego externo que a instância NAT não passe.

    
por 05.09.2013 / 01:52