Estou tentando configurar alguns servidores no EC2 em uma nuvem privada virtual. Para fazer isso, tenho duas sub-redes:
10.0.42.0/24 - Public subnet
10.0.83.0/24 - Private subnet
Para colmatar estes dois, tenho uma instância do Funtoo com um par de NICs:
eth0 10.0.42.10
eth1 10.0.83.10
Que tem a seguinte tabela de roteamento:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.83.0 * 255.255.255.0 U 0 0 0 eth1
10.0.83.0 * 255.255.255.0 U 203 0 0 eth1
10.0.42.0 * 255.255.255.0 U 202 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default 10.0.42.1 0.0.0.0 UG 0 0 0 eth0
default 10.0.42.1 0.0.0.0 UG 202 0 0 eth0
Um IP elástico é anexado à interface eth0, e eu posso me conectar a ele bem remotamente. No entanto, não consigo pingar nada na sub-rede 10.0.83.0.
Por enquanto o iptables não está configurado na caixa, então não há regras que atrapalhem (Eventualmente isso será gerenciado pelo Shorewall, mas eu devo ter conectividade básica feita primeiro)
Detalhes da sub-rede da interface do VPC:
CIDR: 10.0.83.0/24
Destination Target
10.0.0.0/16 local
0.0.0.0/0 [ID of eth1 on NAT box]
Network ACL: Default
Inbound:
Rule # Port (Service) Protocol Source Allow/Deny
100 ALL ALL 0.0.0.0/0 ALLOW
* ALL ALL 0.0.0.0/0 DENY
Outbound:
Rule # Port (Service) Protocol Destination Allow/Deny
100 ALL ALL 0.0.0.0/0 ALLOW
* ALL ALL 0.0.0.0/0 DENY
CIDR: 10.0.83.0/24 VPC:
Destination Target
10.0.0.0/16 local
0.0.0.0/0 [Internet Gateway ID]
Network ACL: Default (replace)
Inbound:
Rule # Port (Service) Protocol Source Allow/Deny
100 ALL ALL 0.0.0.0/0 ALLOW
* ALL ALL 0.0.0.0/0 DENY
Outbound:
Rule # Port (Service) Protocol Destination Allow/Deny
100 ALL ALL 0.0.0.0/0 ALLOW
* ALL ALL 0.0.0.0/0 DENY
Eu tenho tentado resolver isso a maior parte da noite, mas estou preso. Estou perdendo algo óbvio ou estou fazendo algo muito errado. Eu acho que seria capaz de pingar de qualquer interface nesta caixa sem problemas.
Espero que alguns pares de olhos nesta configuração ajudem.
EDITAR:
Eu sou um idiota. Depois que me preocupei em instalar o nmap para executar mais alguns testes, descobri que posso ver as portas e conectar-me a elas, os pings estão sendo bloqueados.
Tags amazon-ec2 routing nat subnet