Atașați NSG la interfața gateway-ului NAT

Cum pot atașa un NSG cu stare la interfața de rețea a unui gateway NAT în AWS? Dacă încerc să-l adaug manual, primesc următoarea eroare: „Nu aveți permisiunea de a accesa resursa specificată”. în portal.

În mod implicit, interfața gateway-ului NAT nu are NSG atașat, astfel încât jurnalele de flux VPC arată traficul de internet de intrare ca fiind acceptat. Știu că traficul real nu este acceptat de gateway-ul NAT și este abandonat, dar acest lucru este încă foarte enervant, deoarece aglomera jurnalele.

Aici, IP-ul privat al gateway-ului NAT este 10.0.1.226 și puteți vedea că este testat de pe internetul public:

versiune cont-id interfață-id srcaddr dstaddr srcport dstport protocol pachete octeți început sfârșit acțiune jurnal-stare
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.159 10.0.1.226 54995 20121 6 1 44 1631843704 1631843704 1631843704 ACCEPT3 OK
2 770604943877 eni-0d9c6092f69e85b93 192.241.207.249 10.0.1.226 37490 8098 6 1 40 1631843722 1631843722 1623188PT377
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.59 10.0.1.226 52915 5017 6 1 40 1631843709 1631843709 1631843 OK
2 770604943877 eni-0d9c6092f69e85b93 45.135.232.119 10.0.1.226 43453 8737 6 1 40 1631843761 1631843761 1631843762 ACCEPT37621.226
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.149 10.0.1.226 4078 9010 6 1 44 1631843780 1631843780 1632184PT378218437
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.204 10.0.1.226 53823 5354 6 1 40 1631843789 1639184PT37
2 770604943877 eni-0d9c6092f69e85b93 192.241.215.86 10.0.1.226 43709 137 17 1 78 1631843789 1631843789 1639184PT37
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.146 10.0.1.226 14176 18045 6 1 44 1631843739 1631843739 16931 ACCEPT3 OK
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.150 10.0.1.226 48059 21381 6 1 44 1631843739 1631843739 16931 ACCEPT3 OK
2 770604943877 eni-0d9c6092f69e85b93 185.191.34.207 10.0.1.226 59477 36 6 1 40 1631843739 1631843739 1631843 OK
2 770604943877 eni-0d9c6092f69e85b93 91.132.58.183 10.0.1.226 5106 5162 17 1 443 1631843739 1631843739 1630184PT37

Dacă adaug ACL-uri de rețea pentru a refuza traficul de intrare de pe internet, va împiedica și accesul la internet de ieșire inițiat de VPC. Deoarece ACL-urile sunt apatride, traficul de răspuns de intrare de pe internet va fi blocat.

Întrebarea ta mi se pare ușor confuză. Când spui „NSG” presupun că te referi la „Grup de securitate”. Azure are „Network Security Groups”, AWS ca Security Groups. De asemenea, nu ai spus ceea ce încerci să obții, ai spus ceea ce nu funcționează, ceea ce face dificil să te ajuți. Vă voi oferi câteva gânduri generale, dar dacă acestea nu sunt corecte, vă rugăm să editați întrebarea pentru a spune ceea ce încercați să obțineți și să remediați abrevierile.

Gateway-urile NAT nu au un grup de securitate. Un grup de securitate este un firewall în jurul unui ENI, cum ar fi pe o instanță EC2. Nu plătiți pentru traficul de intrare, așa că nu ar trebui să vă pese cu adevărat de ceea ce este respins de gateway-ul NAT, în afară de investigațiile de securitate ale unor probleme / incidente specifice. Nimic nu vine într-un gateway NAT, pentru asta sunt.

Se pare că problema dvs. principală este traficul refuzat în jurnalele de flux VPC, pentru traficul pe care gateway-ul NAT îl respinge de pe internet.Sfatul meu principal este să îl ignorați, deoarece poate vă va fi util într-o zi în scopuri criminalistice într-un mediu de înaltă securitate sau dezactivați jurnalele de flux VPC dacă nu aveți nevoie de ele. Folosesc jurnalele de flux VPC pentru diagnosticare și le las doar pe termenul de jurnal atunci când este necesară conformitatea PCI / CIS / similară. Va fi întotdeauna mult trafic de respingere în acele jurnale. Odată am petrecut destul de mult timp încercând să urmăresc respingerile într-o subrețea internă fără acces la internet, dar am rămas fără timp înainte de a ajunge undeva. Am lăsat-o să plece.

Puteți modifica domeniul de aplicare al Jurnalele de flux VPC. În loc să creați un jurnal de flux pentru întregul VPC, creați un jurnal de flux numai pentru subrețelele dvs. private și asigurați-vă că gateway-ul dvs. NAT se află în subrețeaua publică. În acest fel, nu înregistrați traficul de respingere de pe internet.

De asemenea, puteți configura jurnalele de flux pentru a înregistra tipurile de trafic ACCEPTARE, RESPINGERE sau AMBELE.

Pentru a rezuma și a adresa comentariul dvs.:

1. Jurnalele de flux VPC sunt un instrument care este utilizat pentru diagnosticarea rețelei (și rareori activat) sau pentru înregistrarea conformității (întotdeauna activat, dar în mod deliberat). Nu mulți oameni le pornesc.
2. Pornesc jurnalele de flux VPC doar când am un motiv întemeiat. Când o fac, le îndeplinesc la interfețele de rețea și tipul de trafic de care am nevoie (accept / resping / ambele).
3. Mă uit la jurnalele de flux VPC doar când fac diagnosticarea rețelei. Când mă uit la ele, este pentru o anumită interfață / eveniment, așa că ignor tot ce nu trebuie să văd.
4. Am grupul de jurnal Cloudwatch setat la o perioadă de păstrare adecvată.