înregistrare Logare
Puncte:0
Ryan Lyu avatar Server

iptables: cum gestionează Instanța NAT traficul de la conexiunea inițiată din exterior?

drapel ph
Ryan Lyu

introduceți descrierea imaginii aici

AWS permite dezvoltatorului să creeze o instanță NAT în subrețeaua publică și să ofere subrețelei private posibilitatea de a accesa internetul.

Iată procedura de creare a instanței NAT. Pentru configurația iptables, este doar o schimbare de o linie.

În consola EC2, dezactivați verificarea sursei/destinației făcând clic dreapta pe instanța pe care doriți să o utilizați pentru NAT și alegând „Modificare sursă/Verificare destinație”.
Creați un grup de securitate cu o regulă de intrare care să permită TOATE de la 10.0.0.0/16 și asociați-l cu instanța dvs. NAT.
Pe instanța NAT, creați /etc/network/if-pre-up.d/nat-setup ca:

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE

chmod +x scriptul, apoi rulați-l. Acest script va fi rulat automat când mașina repornește, astfel încât NAT-ul tău va supraviețui unei reporniri.
Asigurați-vă că toate subrețelele dvs. private au o rută implicită pentru a utiliza instanța NAT ca gateway (creați o rută pentru 0.0.0.0/0 și asociați-o cu instanța dvs. NAT în tabelele de rută asociate subrețelelor private).
testați-vă NAT-ul prin ping ceva dintr-o instanță EC2 într-o subrețea privată

Conexiuni inițiate din interior

Dacă conexiunea este inițiată din interior, presupun că instanța NAT funcționează în acest fel.

  1. Instanța EC2 A (în subrețea privată) ar dori să acceseze serverul web C pe internet.

  2. Instanța EC2 A din subrețeaua privată trimite pachete către instanța B NAT.

  3. Instanța B NAT redirecționează pachetele și face lucrul SNAT, de ex.

    • schimba ip-ul sursei din pachet.
    • înregistrează această conexiune activă în tabelele conttrack.

  4. Pachetele ajung la serverul C de pe internet.

  5. Serverul C trimite pachetele înapoi la instanța B NAT

  6. Deoarece conexiunea este în tabele contratrack, toate pachetele sunt acceptate.

Conexiuni inițiate din exterior

Dacă cineva de pe internet inițiază direct o conexiune și trimite pachetele către instanța NAT, de exemplu, autentificare ssh sau ping.

  1. ce va face instanța NAT?

  2. Cum vor gestiona iptable-urile instanței NAT traficul pe baza configurației din paragraful precedent?

Referinţă

  1. Esența Github: crearea instanței AWS NAT
  2. Kabisa: Economie de costuri cu instanțe NAT
  3. AWS: instanțe NAT
15
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.