Как получить шлюз Nat для всех ip в AWS и разрешить возврат трафика, чтобы он не проходил через шлюз NAT? - PullRequest
0 голосов
/ 15 мая 2018

Я хочу использовать внешние сервисные черные списки ip, если они обнаруживают слишком большой трафик от них (анти-DOS). Таким образом, мне нужно иметь возможность назначить этому сервису конкретный ip, чтобы они могли занести в белый список этот ip.

Итак, я создаю свой шлюз nat и настраиваю маршрутизацию таким образом, чтобы любой трафик, идущий на этот сервис, проходил через шлюз nat.

Проблема в том, что эта служба также является облачной, поэтому ее IP-адрес не является статическим.

Так что в лучшем случае я могу настроить фильтр для всех IP-адресов и направить его через шлюз nat. Проблема в том, что возвратный трафик также проходит через шлюз nat. Таким образом, это означает, что я больше не могу входить в мои экземпляры ssh или подключаться к своей базе данных извне, потому что это безопасная ссылка, требующая возврата по тому же маршруту.

Согласно тому, что я вижу в конфигурации ACL, я могу трактовать возвращаемый трафик иначе, чем отправляющий трафик - это через порты. Но не похоже, что я могу сделать то же самое с nat gateway ...

Есть ли способ не отправлять ответный трафик через шлюз nat? Или другое решение этой проблемы?

1 Ответ

0 голосов
/ 15 мая 2018

Таким образом, это означает, что я больше не могу подключиться к своим экземплярам по ssh или подключиться к своей базе данных извне

Это единственная проблема, или внешняя служба устанавливает соединения с вашими хостами (вместо ответа через одно соединение, инициированное вашим хостом)?

Если первое, то вы можете сделать две вещи.Первый - использовать VPN, чтобы ваш компьютер или сеть были логически частью VPC.Второе, и imo гораздо более распространенное для небольших сайтов, - это использование бастионного хоста : экземпляр EC2, который живет в общедоступной подсети и позволяет SSH-туннелям к вашим экземплярам в частной подсети (-ах).

Вы также можете выставить БД с публичным IP, чтобы избежать необходимости туннелирования, хотя я действительно не рекомендую это.Пока ваши экземпляры в частной подсети используют конечную точку, доступную для AWS (или псевдоним Route53 для этой конечной точки), они будут подключаться к частному IP-адресу БД.

...