Я надеюсь, что кто-то может помочь мне в следующем вопросе. Я пробовал искать, но не могу найти хорошее решение моей проблемы.
У меня есть VP C 10.0.0.0/16
В пределах VP C Я разделил его в частные и публичные c подсети. У меня есть 1 личное и 1 паблическое c су bnet за AZ.
Итак, мои подсети выглядят следующим образом: AZ us-east-2a 10.0.1.0/24 - личное 10.0 .2.0 / 24 - публичные c
AZ us-east-2b 10.0.3.0/24 - частные 10.0.4.0/24 - публичные c
AZ us-east-2 c 10.0.5.0/24 - частный 10.0.6.0/24 - publi c
Все это для избыточности. Но сейчас я делаю тест, имея только бастион в us-east-2a, и я ожидаю, что он сможет s sh во всех других экземплярах ec2 в этом VP C, однако это не происходит, и это проблема, с которой я сталкиваюсь.
Мой бастионный хост находится в us-east-2a в паблике c su bnet, который я создал. Я могу s sh успешно выполнить это с моего локального компьютера.
Если я попытаюсь подключить sh к экземпляру ec2 в том же su bnet, что и мой хост-бастион, то это сработает, но для любого другого хоста в другом su bnet он не работает, хотя это все в пределах одного VP C.
В целях тестирования группа безопасности для экземпляров ec2, которые я пытаюсь s sh в от бастиона широко открыты (я заблокирую это, как только выясню проблему):
В основном я разрешаю всем tcp traffi c в мире с любого порта.
С точки зрения моих NACL - у меня есть NACL для моей сети publi c (и с этим связаны мои подсети publi c) и NACL для моей частной сети (и мои частные подсети были связаны с that).
Исходящий трафик c из моего publi c nacl разрешает все tcp traffi c 0 - 65535
Входящий приватный NACL в этот момент разрешает все трафик c и тот же исходящий. Опять же, я исправлю это, но поскольку я устранял эту проблему, я ослабил эти правила, чтобы убедиться, что там нет проблем.
У меня есть publi c и таблица частных маршрутов, прикрепленная к моей publi c и частные подсети соответственно.
Таблица маршрутов publi c имеет маршрут назначения 0.0.0.0/0 к моему IG, а также локальный маршрут 10.0.0.0/16, который должен разрешать доступ к любому хосту в su bnet.
Таблица частных маршрутов имеет маршрут 10.0.0.0/16 к локальному интерфейсу и все другие трафики c (0.0.0.0/0) к шлюзу NAT .
It just hangs here and eventually there is a timeout.
[root@ip-10-0-2-177 ec2-user]# ssh ec2-user@10.0.1.242
ssh: connect to host 10.0.1.242 port 22: Connection timed out
[root@ip-10-0-2-177 ec2-user]# ssh -vvvv ec2-user@10.0.1.242
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 58: Applying options for *
debug2: resolving "10.0.1.242" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to 10.0.1.242 [10.0.1.242] port 22.
debug1: connect to address 10.0.1.242 port 22: Connection timed out
ssh: connect to host 10.0.1.242 port 22: Connection timed out
I can ping this server though:
[root@ip-10-0-2-177 ec2-user]# ping 10.0.1.242
PING 10.0.1.242 (10.0.1.242) 56(84) bytes of data.
64 bytes from 10.0.1.242: icmp_seq=1 ttl=255 time=0.403 ms
64 bytes from 10.0.1.242: icmp_seq=2 ttl=255 time=0.461 ms
64 bytes from 10.0.1.242: icmp_seq=3 ttl=255 time=0.479 ms
64 bytes from 10.0.1.242: icmp_seq=4 ttl=255 time=0.439 ms
^C
--- 10.0.1.242 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3061ms
rtt min/avg/max/mdev = 0.403/0.445/0.479/0.035 ms
Любая помощь будет принята с благодарностью, так как я посмотрел на все, что мог придумать, и не уверен, в чем проблема.