Как получить доступ в Интернет из частной подсети VPC

Я создал на AWS VPC с частной и общедоступной подсетями. Я запустил экземпляр из частной подсети и хотел бы получить доступ в Интернет через NAT-сервер.

Это мои iptables на моем экземпляре NAT.

Цепочка PREROUTING (policy ACCEPT) num target prot opt ​​source destination
1 DNAT tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 10234 to: 10.0.1.58: 22

Цепочка INPUT (policy ACCEPT) num target prot opt ​​source destination

Цепочка OUTPUT (policy ACCEPT) num target prot opt ​​source destination

Цепочка POSTROUTING (policy ACCEPT) num target prot opt ​​source destination
1 MASQUERADE all - 10.0.0.0/16 0.0.0.0/0

Что я должен добавить к моему NAT или моему экземпляру в частной подсети, чтобы иметь возможность доступа в Интернет из моего экземпляра в частной подсети

Большое спасибо!!


amazon-web-services vpc subnet
person Elie    schedule 12.04.2014    source источник

Ответы (4)


arrow_upward
6
arrow_downward

Ваше MASQUERADE правило хорошее как есть. Еще несколько вещей из документации по экземпляру NAT:

  1. Вам следует отключить проверку источника / назначения на экземпляре NAT, чтобы разрешить ему маршрут движения
  2. Настройте правила группы безопасности для входящего и исходящего трафика, чтобы разрешить трафик по мере необходимости.
  3. Убедитесь, что таблица маршрутов для вашей частной подсети указывает на экземпляр NAT
person Ben Whaley    schedule 12.04.2014
comment
Я пробовал это, но кажется, что мне что-то не хватает в таблице маршрутов ... Я попытался добавить экземпляр NAT в свою таблицу маршрутов, но если я попытаюсь выполнить ping google.com из моего экземпляра в частной сети, я этого не сделаю. t получить ответ (в то время как я получаю его, когда я использую ssh в экземпляре NAT) - person Elie; 14.04.2014
comment
На самом деле очистка групп безопасности исправила это ... большое спасибо! - person Elie; 14.04.2014
comment
У меня была такая же проблема, и, в частности, решение, которое сработало для меня, заключалось в явном добавлении HTTP и HTTPS в правила исходящего трафика для группы безопасности NAT. - person Nick Schroeder; 25.08.2016

arrow_upward
2
arrow_downward

Выберите AMI ниже из AMI сообщества и запустите экземпляр в общедоступной подсети. После запуска экземпляра свяжите его с частной таблицей маршрутов в таблицах маршрутов.

amzn-ami-vpc-nat-pv-2014.03.2.x86_64-ebs (ami-809f4ae8)

Не нужно ничего делать с экземпляром, по умолчанию он должен работать.

person Satya Narayana    schedule 10.11.2014

arrow_upward
1
arrow_downward

Я предполагаю, что вы хотите добиться этого: введите описание изображения здесь

  • Вы можете создать собственный экземпляр nat в своей общедоступной подсети
  • Добавьте созданный пользователем экземпляр nat в качестве шлюза по умолчанию в таблице маршрутизации, связанной с частной подсетью.

Это Пошаговое руководство поможет вам закрепить свою цель. Надеюсь, это поможет тебе

person Arbab Nazar    schedule 13.05.2016

arrow_upward
0
arrow_downward

Есть еще две вещи, которые вам нужно сделать в дополнение к другому предоставленному ответу.

Вам необходимо и входящее правило для вашего экземпляра nat, чтобы разрешить трафик из частной подсети

Вам также необходимо отключить проверку источника / назначения на вашем экземпляре nat.

person Matthew Dresden    schedule 21.10.2014