Экземпляр NAT и конфигурации NACL

Question

У меня

1. два publi c su bnet, у которых есть один экземпляр NAT EC2 и один хост-бастион
2. один частный su bnet с одним экземпляром EC2

Я могу пинговать google.com с моего хоста-бастиона, но не могу сделать это из моего частного инстанса EC2. Я проверил все шаги, упомянутые здесь: - https://aws.amazon.com/premiumsupport/knowledge-center/ec2-internet-connectivity/

Думаю, проблема в моем NACL.

ВХОДЯЩИЕ ПРАВИЛА NACL, ПРИСОЕДИНЕННЫЕ К ЧАСТНОЙ ПОДСЕТИ

OUTBOUND RULES OF NACL ATTACHED TO THE PRIVATE SUBNET введите описание изображения здесь

Проверка связи с google.com работает, если я отключаю NACLS от частного su bnet. Пожалуйста, проверьте эти NACLS

ПРИМЕЧАНИЕ: - 10.100.3.0/24 и 10.100.0.0/24 - это CIDR моих publi c su bnet

Answer 1

Ваши исходящие правила NACL блокируют весь трафик c, кроме тех, которые предназначены для конечного пункта назначения из 2 диапазонов частных IP-адресов.

Хотя NAT может находиться в этих подсетях, target - нет, вы должны разрешить любые диапазоны IP-адресов, с которыми вы хотите разговаривать.

Answer 2

NACL не имеет состояния. Это означает, что вам необходимо открыть соответствующий протокол и порты для исходящих запросов, а также вам потребуются правила для входящего трафика для обратного трафика c исходящих запросов. Чтобы разрешить ответ на исходящие запросы ping, он должен разрешить входящий трафик ICMP c. Если вы хотите отправлять запросы HTTP / S, вы должны разрешить входящий трафик c на эфемерных портах TCP.

Подробнее о сетевых ACL и эфемерных портах можно узнать здесь .