Amazon-Web-Services
通過防火牆測試與 NAT 網關的連接。
我在 aws 中創建了一個 VPC 並添加了一個 NAT 網關,因此我在 VPC 中的實例可以使用 Internet 上的其他資源。其中一些資源屬於第 3 方,位於防火牆後面,必須為其添加我的 NAT 網關 IP 地址,以便我可以成功連接。他們聲稱已經添加了我的 IP 地址,但他們無法驗證,因為在 NAT 網關的真實性質中,他們無法通過響應 ping/telnet 我的 NAT 網關 IP。無論如何,他們是否可以驗證他們是否可以建立與我的 NAT 網關 IP 的連接?
無論如何,他們是否可以驗證他們是否可以建立與我的 NAT 網關 IP 的連接?
不,他們將無法連接到您的資源。您必須從 VPC 內部連接到它們。
但是,您確定通過 NAT的**路由確實有效嗎?**對於 VPC NAT,您通常需要至少 2 個子網:
- DMZ(或public)連接了IGW(Internet 網關)並且資源具有公共或彈性 IP 地址的一個。路由表 中的預設路由
0.0.0.0/0
指向IGW。那是您設置NAT 網關的地方。- 預設路由
0.0.0.0/0
指向NAT 網關且資源(實例)沒有公共 IP的私有子網。如果您有這 2 個子網,則在私有子網中創建一個 EC2 實例並嘗試連接到網際網路,例如,
curl http://ifconfig.co
如果它與您的 NAT 網關的彈性 IP 一起返回,則您的路由可以正常工作。如果超時,則說明配置不正確,您需要對其進行深入研究。只有當您的一般網際網路訪問正常工作時*,您才能與您的第 3 方合作,確保其*設置正確。
更新
為了驗證他們的身份,他們必須為您的 NAT IP 設置網路流量日誌記錄並驗證
- 流量從您到達他們的外部介面,並且
- 該流量正在通過其防火牆到達目標內部系統。
在 Linux 中,他們可以使案例如
tcpdump
監控流量,在 Cisco 或其他硬體路由器上,他們將擁有自己的工具。由他們來驗證您的流量是否正在通過。