Je vois le trafic entrant dans les journaux de flux VPC pour ma passerelle NAT. Est-ce que ma passerelle NAT accepte le trafic entrant provenant d'Internet ?

Date de la dernière mise à jour : 22/07/2019

Mes journaux de flux VPC affichent le message Action = ACCEPT pour le trafic entrant en provenance d'adresses IP publiques. Toutefois, je pensais que les passerelles NAT n'acceptaient pas le trafic provenant d'Internet. Est-ce que ma passerelle NAT accepte le trafic entrant provenant d'Internet ?

Résolution

Les passerelles NAT gérées par AWS n'acceptent pas de trafic initié depuis Internet. Cependant, il existe deux raisons pour lesquelles des informations contenues dans vos journaux de flux VPC semblent indiquer que le trafic entrant est accepté en provenance d'Internet.

Raison 1 : le trafic Internet entrant est autorisé par votre groupe de sécurité ou les listes ACL réseau.

Les journaux de flux VPC indiquent que le trafic Internet entrant est accepté si le trafic est autorisé par votre groupe de sécurité ou par les listes de contrôle d'accès (ACL) réseau. Si les ACL réseau attachées à une passerelle NAT ne refusent pas explicitement le trafic provenant d'Internet, le trafic Internet à destination de la passerelle NAT s'affiche comme étant accepté. Toutefois, le trafic réel n'est pas accepté par la passerelle NAT et est donc abandonné. Pour confirmer :

1. Ouvrez la console Amazon CloudWatch.

2. Dans le volet de navigation, sélectionnez Instances.

3. Dans la liste déroulante, sélectionnez le groupe de journaux qui contient l'interface réseau Elastic de la passerelle NAT et l'interface réseau Elastic de l'instance privée.

4. Exécutez la requête ci-dessous.

filter (dstAddr like 'xxx.xxx' and srcAddr like 'public IP')
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| limit 10   

Remarque : vous pouvez uniquement utiliser les deux premiers octets dans le filtre de recherche pour analyser toutes les interfaces réseau dans le VPC. Dans l'exemple ci-dessus, remplacez xxx.xxx par les deux premiers octets de votre CIDR VPC. Remplacez également l'adresse IP publique par l'adresse IP publique que vous voyez dans l'entrée du journal de flux VPC.

Les résultats de la requête doivent afficher le trafic sur l'adresse IP privée de la passerelle NAT à partir de l'adresse IP publique, mais pas de trafic sur d'autres adresses IP privées dans le VPC. Ces résultats confirment que le trafic entrant n'a pas été sollicité. Toutefois, si vous constatez la présence de trafic sur l'adresse IP de l'instance privée, suivez les étapes sous Raison 2.

Raison 2 : le trafic à destination de l'adresse IP publique a été initié à partir d'une instance privée.

Si une instance utilise une passerelle NAT pour accéder à Internet, le trafic dans vos journaux de flux VPC peut représenter le trafic de réponse provenant de l'adresse IP publique. Pour confirmer que le trafic à destination de l'adresse IP publique a été initié à partir d'une instance privée, exécutez la requête ci-dessous.

Remarque : avant l'exécution de la requête, vérifiez les points suivants :

  • Sélectionnez la période qui correspond au moment où vous avez constaté la présence de trafic dans les journaux de flux VPC.
  • Si vous avez plusieurs groupes de journaux dans votre VPC, sélectionnez le groupe approprié.
filter (dstAddr like 'public IP' and srcAddr like 'xxx.xxx')
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| limit 10 

Remarque : dans l'exemple ci-dessus, remplacez xxx.xxx par les deux premiers octets de votre CIDR VPC. Remplacez également l'adresse IP publique par l'adresse IP publique que vous voyez dans l'entrée du journal de flux VPC. Augmentez la limite si plus de 10 ressources dans votre VPC ont initié du trafic vers l'adresse IP publique.


Journaux de flux VPC

Exemples de requêtes (pour CloudWatch Logs Insights)

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?