NAT 实例和 NACL 配置
NAT instance and NACL configurations
我有
- 两个 public 子网,其中有一个 NAT EC2 实例和一个堡垒主机
- 一个拥有一个 EC2 实例的私有子网
我可以从我的堡垒主机 ping google.com 但我无法从我的私有 EC2 执行此操作 instnace.I 已检查此处提到的所有步骤:-
https://aws.amazon.com/premiumsupport/knowledge-center/ec2-internet-connectivity/
我认为问题出在我的 NACL 上。
连接到私有子网的 NACL 的入站规则
连接到私有子网的 NACL 的出站规则
Ping google.com 在我从私有子网中分离 NACLS 的情况下有效。请验证这些 NACLS
注意:- 10.100.3.0/24 和 10.100.0.0/24 是我的 public 子网
的 CIDR
NACL 是无状态的。这意味着您必须为传出请求打开相应的协议和端口,并且您还需要为传出请求的 return 流量设置入站规则。要允许响应传出的 ping 请求,它必须允许入站 ICMP 流量。如果要发送 HTTP/S 请求,则必须允许 TCP 上的临时端口上的入站流量。
您可以了解有关网络 ACL 和临时端口的更多信息here。
您的出站 NACL 规则阻止所有流量,但注定要具有 2 个私有 IP 范围的最终目的地 的流量除外。
虽然 NAT 可能在这些子网中,但目标不在,您应该允许任何您希望能够与之对话的 IP 范围。
我有
- 两个 public 子网,其中有一个 NAT EC2 实例和一个堡垒主机
- 一个拥有一个 EC2 实例的私有子网
我可以从我的堡垒主机 ping google.com 但我无法从我的私有 EC2 执行此操作 instnace.I 已检查此处提到的所有步骤:- https://aws.amazon.com/premiumsupport/knowledge-center/ec2-internet-connectivity/
我认为问题出在我的 NACL 上。
连接到私有子网的 NACL 的入站规则
连接到私有子网的 NACL 的出站规则
Ping google.com 在我从私有子网中分离 NACLS 的情况下有效。请验证这些 NACLS
注意:- 10.100.3.0/24 和 10.100.0.0/24 是我的 public 子网
的 CIDRNACL 是无状态的。这意味着您必须为传出请求打开相应的协议和端口,并且您还需要为传出请求的 return 流量设置入站规则。要允许响应传出的 ping 请求,它必须允许入站 ICMP 流量。如果要发送 HTTP/S 请求,则必须允许 TCP 上的临时端口上的入站流量。
您可以了解有关网络 ACL 和临时端口的更多信息here。
您的出站 NACL 规则阻止所有流量,但注定要具有 2 个私有 IP 范围的最终目的地 的流量除外。
虽然 NAT 可能在这些子网中,但目标不在,您应该允许任何您希望能够与之对话的 IP 范围。