У меня есть VP C с двумя подсетями внутри:
- Publi c su bnet с Nat instance Входящие соединения от Inte rnet не разрешены.
- Private su bnet с сервером приложений Таблица маршрутов для частного su bnet использует eni экземпляра Nat для пункта назначения 0.0.0.0/0, поэтому мой сервер приложений может отправить запрос на некоторый внешний сервер через экземпляр Nat.
VP C Ниже приведен формат журнала потоков:
So, in the flow log of Application server I saw:
Seems, that external host 31.220.24.x is trying to connect my private instance 172.30.4.205, isn't it? But, according to этот документ , 18 как tcp-flag , означает SYN -ACK, так что это ответ внешнего хоста на мой SYN-пакет от внутреннего хоста. Меня смущало получение SYN-ACK без предыдущего пакета SYN, поэтому я попытался смоделировать этот случай и записать все пакеты с помощью tcpdump . Я отправил некоторые данные на 31.220.24.x из 172.30.4.205 и получил те же журналы в CloudWatch, но все три пакета в WireShark - SYN, SYN-ACK, ACK:
введите описание изображения здесь
Итак, вопрос в том, почему я не вижу первый SYN-пакет в моих журналах CloudWatch сервера приложений. Заранее спасибо!