我在 aws 中创建了一个 VPC 并添加了一个 NAT 网关,以便 VPC 中的实例可以使用互联网上的其他资源。其中一些资源属于第三方,位于防火墙后面,因此必须添加我的 NAT 网关 IP 地址才能成功连接。他们声称已添加我的 IP 地址,但无法验证,因为 NAT 网关的本质是他们无法 ping/telnet 我的 NAT 网关 IP 并得到响应。他们有没有办法验证是否可以与我的 NAT 网关 IP 建立连接?
答案1
他们有没有什么办法可以验证是否可以与我的 NAT 网关 IP 建立连接?
不,他们将无法连接到您的资源。你必须连接到他们从您的 VPC 内部。
但是你确定你的路由通过 NAT 真的有效吗?对于 VPC NAT,通常至少需要 2 个子网:
非军事区(或者民众)一个有政府间气候变化专门委员会(Internet 网关)连接,并且资源具有公共或弹性 IP 地址。路由表
0.0.0.0/0
指向政府间气候变化专门委员会。这就是你设置你的NAT 网关。私人的默认路由
0.0.0.0/0
指向的子网NAT 网关并且资源(实例)没有公共 IP。
如果您有这两个子网,请在私有子网中创建一个 EC2 实例并尝试连接到互联网,例如curl http://ifconfig.co
- 如果它返回您的 NAT 网关的弹性 IP,则您的路由有效。如果超时,则配置不正确,您需要对其进行进一步研究。
只有当你的常规互联网接入正常时然后你可以与第三方合作确保他们的是否设置正确。
更新
为了验证这一点,他们需要为你的 NAT IP 设置网络流量日志记录,并验证
- 流量从你到达他们的外部接口,并且
- 流量正在穿过防火墙到达目标内部系统。
在 Linux 中,他们可以使用例如tcpdump
来监控流量,在 Cisco 或其他硬件路由器上,他们有自己的工具。由他们来验证您的流量是否正在通过。